近日,一篇《卡在,錢沒了!"簡訊嗅探"三公里內刷爆所有銀行卡》的報道再次讓簡訊嗅探技術出現在了人們面前。所謂簡訊嗅探技術,是通過特殊裝置可以採集附近手機號碼和機主資訊,實現不接觸目標手機,而獲得目標手機所接收到的驗證簡訊的犯罪手段。
簡訊驗證碼傳輸風險早有人提出
簡訊驗證碼主要用於使用者實名認證,在國內使用簡訊驗證碼已經成為了各大App、網站的基本操作。使用簡訊驗證碼可以完成登入、更改密碼、轉賬、支付等諸多操作,從實質作用上,簡訊驗證碼已經變成安全口令:一個雙方約定好、只具有一分鐘生命的安全口令。
但是這個安全口令本身並不安全,事實上在2017年就有人提出了這個安全隱患:360 Unicorn Team的黃琳博士在阿姆斯特丹公開演示、驗證LTE重定向攻擊的可能性;中國海天集團有限公司創始人兼CEO Seeker在同年以如何利用LTE/4G偽基站+GSM中間人攻擊攻破所有簡訊驗證為主題舉行了公開課。
Seeker認為,3GPP制定協議標準時,在考慮發生緊急情況、突發事件時可能產生大量手機業務請求,需要能及時排程網路請求,轉移壓力,這時候大量的鑑權、加密、完整性檢查等安全措施可能導致網路瓶頸,因此捨棄了部分安全措施,由此產生了安全漏洞。
也就是說,簡訊驗證碼被攔截是因為相關企業沒有做好資料全生命週期保護,在資料傳輸過程中出現了致命的漏洞。而這個漏洞由於屬於設計漏洞,因此修復難度大、成本高。
部分專家認為簡訊被嗅探並導致手機銀行被盜發生場景的概率是極低的,普通使用者無需過於擔心,更不需要在晚上睡覺時“主動關機”。
但實際上,這個漏洞的位置和使用者的位置正好位於不可觸及的兩端,使用者除了關機或開啟飛航模式並沒有什麼很好的防禦方法。只要被攻擊,簡訊驗證碼肯定會被攔截,至於會不會被盜刷,主要看支付平臺風控做的如何,使用者完全無法控制。
時代變了,是時候讓簡訊驗證碼退出市場了
2015年是簡訊驗證碼高速發展的時期,到2016年,簡訊驗證碼已經成為中國網際網路的標配。發展快速很大一部分原因是網信辦在2015年2月釋出的《網際網路使用者賬號名稱管理規定》。
《規定》要求,網際網路資訊服務提供者應當按照“後臺實名、前臺自願”的原則,要求網際網路資訊服務使用者通過真實身份資訊認證後註冊賬號,且3月開始實施。由此,中國網際網路開始建立一個基於手機號碼繫結的實名制網路空間。
簡訊驗證碼絕對不是完成網路實名制最安全的辦法,但是在當時,這是最便捷的方法,限於技術、時間諸多因素,簡訊驗證碼的普及可以說是必然。近幾年有不少專業人士都希望可以推倒簡訊驗證碼,更換為其他實名認證手段,但同樣因為技術、時間等諸多因素難以實施。
但是現在,時代變了。隨著生物識別技術的普及和數字身份認證研究的進步,擺脫簡訊驗證碼的可能性出現在眼前。數字身份體系的逐漸普及或許可以讓簡訊驗證碼退出市場。
以公安三所研發的eID舉例,其簽發由公安部公民網路身份識別系統完成,使用者身份認證通過生物識別技術完成,網路身份認證通過使用者網路身份應用標識編碼(appeIDcode)完成,安全性和隱私性可以得到充分保障,且eID已經可以載入幾乎所有國內主流手機品牌,普及性也可以得到保障。
公安一所研發的CTID雖然和eID採用了不同的技術路線,但是同樣可以做到相似的安全性、隱私性、普及性。隨著數字身份體系的發展,簡訊驗證碼在身份認證方面的應用完全被可以被取代。
除了數字身份體系,兩步驗證也是頂替簡訊驗證碼非常有競爭力的選擇。谷歌已經開始啟用兩步驗證服務,使用一個專門的應用,在使用者的手機上儲存動態密碼。Facebook和Twitter也開始使用不含手機號碼的兩步驗證。
去年3月,美國四大運營商還合力推出了移動驗證平臺以取代簡訊驗證碼。簡訊驗證碼一旦被取代,薅羊毛等黑灰產也將得到有效遏制。
現在應該怎麼辦?
數字身份體系的發展和普及不可能一蹴而就,雖然近兩年已經得到了快速的發展,但是想要淘汰手機號+簡訊驗證碼建立的實名制體系還需要等待很長一段時間。在這一段時間內,使用者能做什麼呢?
信安標委今年2月釋出的《應對截獲簡訊驗證碼實施網路身份假冒攻擊的技術指引》中建議,各移動應用、網站服務提供商對業務系統中簡訊驗證碼的使用方式進行摸底,例如在使用者註冊、密碼找回、資金支付等環節的簡訊驗證碼使用情況,並評估相關安全風險,優化使用者身份驗證措施。建議採用多種方式組合,加強安全性。
這份指南同時強調,個人使用者應做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感資訊的保護。在收到來歷不明的簡訊驗證碼等異常情況時,提高警惕,及時聯絡相關移動應用、網站服務提供商。
換句話說,使用者能做的只有期望於盜刷不要發生在自己身上,在盜刷發生後第一時間報警,如果真的害怕,可將大額資金轉移到未繫結支付平臺的銀行卡,防止巨大損失。剩下的,就是等待,等待三大運營商修復漏洞,或者手機號+簡訊驗證碼實名制體系被頂替。