Öljymahti Saudi-Arabia saattaa vakoilla kansalaistensa liikkeitä Yhdysvalloissa heidän matkapuhelintietojensa avulla, kertoo brittilehti The Guardian, joka on saanut tiedon yksittäiseltä ilmiantajalta.

Väitteensä tueksi ilmiantaja on luovuttanut The Guardianille datapaketin, joka sisältää miljoonittain saudiarabialaisten ihmisten sijaintitietoja neljän kuukauden ajalta, marraskuusta alkaen.

Datan perusteella näyttää siltä, että Saudi-Arabia tosiaan pyrkii hyödyntämään puhelinverkon heikkouksia kansalaistensa vakoilemiseen, The Guardianin haastattelemat asiantuntijat arvioivat.

Tämä ei ole ensimmäinen kerta, kun Saudi-Arabiaa syytetään kybervakoilusta. Saudijohto pyrkii hiljentämään toisinajattelijoita ja kruununprinssi Mohammad Bin Salmanin arvostelijoita, ja osa työstä tapahtuu verkossa.

Saudi-Arabia muun muassa hakkeroi The Washington Postin kolumnistin Jamal Khashoggin lähipiirin puhelimia vain kuukausia ennen kuin saudiviranomaiset murhasivat hänet Istanbulissa, Turkissa.

Datan perusteella näyttää siltä, että Saudi-Arabian kolme suurinta teleoperaattoria pyysi asiakkaidensa sijaintitietoja yhdeltä suurelta yhdysvaltalaiselta teleoperaattorilta keskimäärin 2,3 miljoonaa kertaa kuukaudessa.

Puhelinten sijaintitietoja lähetettiin jopa useita kertoja tunnissa. Datan perusteella puhelinten käyttäjien sijainteja olisi voinut kaupungeissa jäljittää muutaman sadan metrin tarkkuudella, The Guardian kirjoittaa.

Yksittäisiä puhelimen käyttäjiä ei voinut kuitenkaan datan perusteella tunnistaa.

Sijaintitietojen pyytäminen toiselta operaattorilta on yleensä hyväksyttyä, kun operaattorit haluavat tarkistaa laskuttavansa asiakasta oikein roaming-palveluista.

Ylenpalttinen sijaintitietojen pyytäminen kuitenkin viestii halusta selvittää, missä maan kansalaiset liikkuvat.

The Guardianin haastattelemien asiantuntijoiden mukaan esitettyjen datamäärien nojalla on hyvin todennäköistä, että kyseessä on Saudi-Arabian valvontakampanja.

Tietojen hankkiminen perustuu 1970-luvulla kehitettyyn maailmanlaajuiseen Signaling System 7, eli SS7-merkinantojärjestelmään.

SS7 mahdollistaa sen, että viestit ja puhelut liikkuvat eri mobiiliverkko-operaattoreiden välillä.

Protokollan avulla operaattorit ympäri maailman voivat tarjota palveluita myös muiden operaattoreiden asiakkaille.

Sen ansiosta verkkovierailu eli puhelimen käyttö ulkomailla on mahdollista. Se myös mahdollistaa puhelimen toimimisen esimerkiksi junamatkan aikana, vaikka operaattorit matkan aikana vaihtuisivat.

SS7-järjestelmän heikkouksista on puhuttu jo vuosia. SS7:n hakkeroiminen on helppoa, ja se mahdollistaa käyttäjän puheluiden kuuntelun, lähetettyjen ja vastaanotettujen tekstiviestien lukemisen ja puhelimen sijainnin löytämisen.

Käytännössä järjestelmä on käytössä koko maailmassa, joten SS7:n kautta hakkeri voi päästä käsiksi kenen tahansa puhelimeen, missä päin maailmaa vain.

Systeemin avulla hakkerit ryöstivät saksalaisia pankkitilejä vuonna 2017. Ensin hakkerit kalastelivat pankin asiakkaiden tietoja sähköpostitse. Kun pankki lähetti asiakkaille kertakäyttöisen salasanan tekstiviestin kautta, hakkerit käänsivät pankkien viestit omiin puhelinnumeroihinsa ja tyhjensivät tilit.

Pankkitilin tyhjentäjien lisäksi protokollaa voivat käyttää omiin tarkoitusperiinsä myös valtioiden hallinnot, kuten Saudi-Arabian esimerkki osoittaa.

The Guardianin lukuisista yrityksistä huolimatta saudioperaattorit eivät kommentoineet uutista.

Kolmesta yhdysvaltalaisesta jättioperaattorista, eli Verizonista, AT&T:stä ja T-Mobilesta, vain AT&T vastasi lehden kommenttipyyntöön.

Operaattorin mukaan sillä on käytössä turvallisuustoimia, jotka estävät verkkovierailupartnereiden, eli ulkomaisten operaattoreiden sijaintitiedustelut.