标题:【翻墙问答】GPRS陈年漏洞,要学习自救
作者:
日期:2021-07-06 17:39:13
内容:
问:虽然现时已经在5G年代,但似乎GPRS技术遗留的问题,仍然影响每一位听众,有研究指,当年欧洲制订电讯标准的机构,在GPRS手机所使用的GEA-1加密技术故意被削弱了,为了留有后门使用较短金钥,造成相当多的问题,能否为大家解释一下?
李建军:现时虽然是5G年代,甚至有部分网络供应商都已经不支援GPRS,但GPRS普遍仍是大部分手机以至网络供应商支援的技术,至少会用于后备通讯用途,当你的手机5G、4G甚至3G讯号都收不到的时候,2G为本的GPRS其实仍然会收得到。
第一代GPRS技术使用的GEA-1加密技术,在推出的时候,其实美国政府已经放宽加密技术的金钥长度限制到64位元,当时大部分美国以外的浏览器都用56位元的长度,以当时的技术水平而言是足够的。不过,欧洲的电讯标准制订机构,为了留后门供政府部门使用,所以故意用40位元这样短的金钥。而当时并无预计电脑运算能力增长得那么快,亦没有预计到,GPRS技术在三十年后都仍然是后备通讯技术。
而太短的金钥,不单留后门给执法机构,更为执法机构带来大量的麻烦,因为其他黑客甚至海外情报人员,一样可以使用这样短的金钥留下的后门,从事各类不法活动,例如偷窃目标人物资料,只要黑客利用程式,强迫手机使用GPRS技术连接,黑客就可以达到目的。因为GPRS模式要破解轻而易举,结果执法部门反而要花更多时间,去对付那些滥用后门的黑客,这一点是欧洲制订标准的机构,未有深思熟虑的结果。
问:究竟这个问题是否能够解决,还是要存在于各国电讯网络好一段时间?听众又有甚么可以做?
李建军:听众除了选择没有GPRS网络服务提供的流动电话供应商,基本上很难解决这个问题。
有部分国家未有就此问题构成困扰,因为这些国家的电讯已经关闭2G网络,包括GPRS网络,只要你小心设定漫游功能,避免漫游到仍然保存2G网络的国家或网络,基本上都不会因此造成太大影响。不过,并非每一个国家都像部分欧洲国家乾脆关闭保安功能较差的2G网络,有部分国家,因救灾系统,或其他因素影响,宁愿关闭3G网络,都不放弃GPRS的情况,那就不可以透过转台去避过这一个问题。
另一方面,不少保安专家都呼吁手机制造商,不要再支援以GEA-1技术为本的GPRS,如果未来的新电话,会自动拒绝使用GEA-1技术的连接,相信都会减少受影响的人次。但手机制造商能否放弃旧制GPRS,仍要视乎电讯公司的态度。因为手机制造商设计手机时,为了未来与电讯公司合作出售手机增加利润,都尽量维持与电讯系统兼容度,这个造成很多手机制造商,根本不敢为照顾消费者私隐,不再使用GEA-1有关的加密技术。因此,未来未必有太多手机制造商,会废除GEA-1以及很多由GSM年代留传的「老爷」技术。
问:如果我的手机网络是使用北美CDMA技术,又会否受到影响?
李建军:虽然现时4G和5G,几乎无分欧洲或北美技术,但2G和3G部分,仍然有所分别,如果你的手机网络是建基于过往的北美CDMA技术,手机显示转成2G模式时,使用CDMA并非GPRS,那几乎不会受影响,因为CDMA技术的理念,以及加密技术原理,与欧洲制式的GSM和GPRS是完全两回事。
但有部分原本使用CDMA技术的网络,在转成4G的时候,一次过更换基础设施,转成GPRS技术为本,那就另作别论,就会受到这次事件影响。如果你在北美居住,大部分都是CDMA网络,那不会受影响。