-----------------------------------
近日,一位豆瓣網友的支付寶等賬號被盜,手機收到了上百條驗證碼,損失慘重。這起事件在網路上引起了熱議,也有不少安全專家分析原因、給出解決方案。
華為手機產品線副Quattroporte李小龍也在微博上支招,建議關閉簡訊雲同步功能、華為手機開啟賬號保護。
簡訊驗證碼被竊取的方式主要有這麼幾個:惡意軟體或病毒,透過簡訊讀取許可權直接獲取簡訊內容;破解手機雲服務賬號,在雲端讀取簡訊驗證碼;GSM網路監聽。
安卓系統中,APP可以獲得簡訊讀取許可權。很多時候,我們在某個APP中需要輸入驗證碼的介面時,系統會自動讀取和填充,這就表示它獲得了簡訊讀取許可權。這種機制省去了手動輸入驗證碼的麻煩,但也造成了安全隱患。現在,MIUI等定製系統已經禁止第三方APP讀取簡訊驗證碼。
如今,很多手機廠商提供的雲服務中都包含簡訊備份功能,手機收到的各類簡訊會即時同步到雲端。理論上說,不法分子利用撞庫等方式破解了使用者的賬號後,可以在雲端獲取他們想要的資訊。因此,李小龍建議普通使用者關閉簡訊雲同步功能。當然,部分手機廠商已經加強了防範,例如在新裝置上登入賬號時,需要輸入驗證碼才能正常使用雲服務。
至於GSM監聽,則應該是普通使用者最不瞭解和最難防範的簡訊竊取形式。2G時代的GSM網路在安全機制上就存在問題,它僅有單向鑑權,即基站認證手機,但手機不需要認證基站。因此,不法分子可以透過偽基站等裝置來竊取使用者的各類資訊、甚至傳送偽裝號碼的簡訊。
4G網路已經基本實現普及,但依然有相當一部分人在使用2G網路,透過GSM收發簡訊。在國內來說,雙卡雙待已經成為標配,之前推出的手機副卡可能還是要以2G訊號待機,這就形成了漏洞。要從根本上解決這個問題,還是要靠運營商VoLTE和手機雙4G雙VoLTE技術的普及。
-----------------------------------
近日,一位豆瓣網友的支付寶等賬號被盜,手機收到了上百條驗證碼,損失慘重。這起事件在網路上引起了熱議,也有不少安全專家分析原因、給出解決方案。
華為手機產品線副Quattroporte李小龍也在微博上支招,建議關閉簡訊雲同步功能、華為手機開啟賬號保護。
簡訊驗證碼被竊取的方式主要有這麼幾個:惡意軟體或病毒,透過簡訊讀取許可權直接獲取簡訊內容;破解手機雲服務賬號,在雲端讀取簡訊驗證碼;GSM網路監聽。
安卓系統中,APP可以獲得簡訊讀取許可權。很多時候,我們在某個APP中需要輸入驗證碼的介面時,系統會自動讀取和填充,這就表示它獲得了簡訊讀取許可權。這種機制省去了手動輸入驗證碼的麻煩,但也造成了安全隱患。現在,MIUI等定製系統已經禁止第三方APP讀取簡訊驗證碼。
如今,很多手機廠商提供的雲服務中都包含簡訊備份功能,手機收到的各類簡訊會即時同步到雲端。理論上說,不法分子利用撞庫等方式破解了使用者的賬號後,可以在雲端獲取他們想要的資訊。因此,李小龍建議普通使用者關閉簡訊雲同步功能。當然,部分手機廠商已經加強了防範,例如在新裝置上登入賬號時,需要輸入驗證碼才能正常使用雲服務。
至於GSM監聽,則應該是普通使用者最不瞭解和最難防範的簡訊竊取形式。2G時代的GSM網路在安全機制上就存在問題,它僅有單向鑑權,即基站認證手機,但手機不需要認證基站。因此,不法分子可以透過偽基站等裝置來竊取使用者的各類資訊、甚至傳送偽裝號碼的簡訊。
4G網路已經基本實現普及,但依然有相當一部分人在使用2G網路,透過GSM收發簡訊。在國內來說,雙卡雙待已經成為標配,之前推出的手機副卡可能還是要以2G訊號待機,這就形成了漏洞。要從根本上解決這個問題,還是要靠運營商VoLTE和手機雙4G雙VoLTE技術的普及。