網路媒體《The Intercept》20日報導,據美國前國家安全局(NSA)雇員史諾登(Edward Snowden)最新外洩的秘密文件顯示,全球最大的手機SIM卡製造商「金雅拓」(Gemalto)遭英美情報機構入侵,竊取了保護手機通訊的保密金鑰;這使得英美情報組織可自由地秘密監控全球數十億支手機語音與通訊資料。
文件顯示,金雅拓受到英美於2010年4月聯合組成的「行動電話探勘團隊」(Mobile Handset Exploitation Team, MHET)鎖定。該團隊的目標為尋找行動電話可侵入的弱點,並秘密滲透SIM卡製造商與其他無線網路供應商。
據一張英國政府通訊總部(GCHQ)的投影片內容,英國情報員報告自己已經在金雅拓的電腦中植入惡意軟體,獲得了「完整的存取權」。
繞過異國政府 嚴重侵犯隱私
捍衛網路自由的「電子前線基金會」(EEF)律師盧莫德(Mark Rumold)表示,這無疑違反了荷蘭法律,很可能也侵犯他國法律。盧莫德解釋,這樣的金鑰就像是住屋的鑰匙,這種行為在各國都是對隱私的嚴重侵犯。
美國情報組織可在法院同意下,要求本國電信公司提供通訊資料;但這樣的行動在國際範疇下難度較高。除非該國政府同意讓美國情報組織獲取自己公民的資料,否則美方情報員只能採行風險較高的監控法,也較可能受目標察覺。
NSA, GCHQ 'hacked world's largest SIM card maker, stole secret keys to decrypt… http://t.co/D1ufTUy1pc #TheRegister pic.twitter.com/G6gQi3nV8m
— Tech News Tube (@TechNewsTube) 2015 2月 20日
一般來說,3G與4G的手機通訊受到加密保護。報導指出,英美情報員鎖定金雅拓特定職員,駭入其個人帳戶,以取得加密金鑰。如此一來,情報員可在未得異國政府與電信公司的同意下進行監控,且不會留下資訊受到攔截的痕跡。
金雅拓否定知情 全力投入調查
總部位於荷蘭的資安公司金雅拓在全球約有450個客戶,包括美國最大無線網路供應商威訊(Verizon)與美國最大行動電話服務供應商AT&T。金雅拓每年製造約20億張SIM卡,也製造提款卡與晶片護照等其他產品。
金雅拓執行副總裁貝弗利(Paul Beverly)受訪表示,公司對此全然不知情,但目前最重要的是了解如何受到入侵,才能防範此事再度發生。金雅拓發言人透過郵件回應,目前蒐集的資料顯示,金雅拓並非攻擊目標,滲透意圖在於觸及最大範圍的行動電話通訊;公司將投入所有必須資源進行調查。
監控行為「可能仍持續」
美國公民自由聯盟(ACLU)研究學者及知名部落客索格安(Chris Soghoian)表示,這是相當嚴重的滲透行動,這使得人們無法信任任何一家手機服務供應商,「他們的系統完全不受保護。」美國約翰霍普金斯大學資訊安全研究所(JHUISI)密碼學家格林(Matthew Green)則指出,「問題是,這樣的監控行為可能還在持續中。」
荷蘭最大反對黨「民主66」(D66)國會議員斯豪(Gerard Schouw)表示這令人「不可置信」,「我們不想要外國的秘密情報人員在國內做出這種事。」他與其他國會議員將施壓荷蘭政府對此作出官方解釋,澄清荷蘭情報組織是否知情;但斯豪認為內政部長應該不會核准外國情報組織做出這種行動。
這次揭密可能再度引發全球對政府大規模監控的反彈,並再度喚起其他國家領袖受到美國監控的不滿回憶。德國總理梅克爾(Angela Merkel)自身曾是NSA監控行動的目標;巴西總統羅賽芙(Dilma Rousseff)也曾於2013年的聯合國大會上公開控訴NSA違反國際法。
