移動支付網 偉辰訊:近日,一篇《卡在,錢沒了!"簡訊嗅探"三公里內刷爆所有銀行卡》的報道再次讓簡訊嗅探技術出現在了人們面前。所謂簡訊嗅探技術,是通過特殊設備可以採集附近手機號碼和機主信息,實現不接觸目標手機,而獲得目標手機所接收到的驗證簡訊的犯罪手段。
有人認為簡訊嗅探盜刷是因為各大銀行、購物網站和移動支付App存在漏洞,但就作者來看,簡訊嗅探盜刷的本質是因為電信企業沒有做好數據全生命周期保護,而且這一身份認證手段是時候退出市場了。
簡訊驗證碼傳輸風險早有人提出
簡訊驗證碼主要用於用戶實名認證,在國內使用簡訊驗證碼已經成為了各大App、網站的基本操作。使用簡訊驗證碼可以完成登錄、更改密碼、轉帳、支付等諸多操作,從實質作用上,簡訊驗證碼已經變成安全口令:一個雙方約定好、只具有一分鐘生命的安全口令。
但是這個安全口令本身並不安全,事實上在2017年就有人提出了這個安全隱患:360 Unicorn Team的黃琳博士在阿姆斯特丹公開演示、驗證LTE重定向攻擊的可能性;中國海天集團有限公司創始人兼CEO Seeker在同年以如何利用LTE/4G偽基站+GSM中間人攻擊攻破所有簡訊驗證為主題舉行了公開課。
Seeker認為,3GPP制定協議標準時,在考慮發生緊急情況、突發事件時可能產生大量手機業務請求,需要能及時調度網絡請求,轉移壓力,這時候大量的鑒權、加密、完整性檢查等安全措施可能導致網絡瓶頸,因此捨棄了部分安全措施,由此產生了安全漏洞。
也就是說,簡訊驗證碼被攔截是因為相關企業沒有做好數據全生命周期保護,在數據傳輸過程中出現了致命的漏洞。而這個漏洞由於屬於設計漏洞,因此修復難度大、成本高。
部分專家認為簡訊被嗅探並導致手機銀行被盜發生場景的機率是極低的,普通用戶無需過於擔心,更不需要在晚上睡覺時「主動關機」。
但實際上,這個漏洞的位置和用戶的位置正好位於不可觸及的兩端,用戶除了關機或打開飛行模式並沒有什麼很好的防禦方法。只要被攻擊,簡訊驗證碼肯定會被攔截,至於會不會被盜刷,主要看支付平颱風控做的如何,用戶完全無法控制。
時代變了,是時候讓簡訊驗證碼退出市場了
2015年是簡訊驗證碼高速發展的時期,到2016年,簡訊驗證碼已經成為中國網際網路的標配。發展快速很大一部分原因是網信辦在2015年2月發布的《網際網路用戶帳號名稱管理規定》。
《規定》要求,網際網路信息服務提供者應當按照「後台實名、前台自願」的原則,要求網際網路信息服務使用者通過真實身份信息認證後註冊帳號,且3月開始實施。由此,中國網際網路開始建立一個基於手機號碼綁定的實名制網絡空間。
簡訊驗證碼絕對不是完成網絡實名制最安全的辦法,但是在當時,這是最便捷的方法,限於技術、時間諸多因素,簡訊驗證碼的普及可以說是必然。近幾年有不少專業人士都希望可以推倒簡訊驗證碼,更換為其他實名認證手段,但同樣因為技術、時間等諸多因素難以實施。
但是現在,時代變了。隨著生物識別技術的普及和數字身份認證研究的進步,擺脫簡訊驗證碼的可能性出現在眼前。數字身份體系的逐漸普及或許可以讓簡訊驗證碼退出市場。
以公安三所研發的eID舉例,其簽發由公安部公民網絡身份識別系統完成,用戶身份認證通過生物識別技術完成,網絡身份認證通過用戶網絡身份應用標識編碼(appeIDcode)完成,安全性和隱私性可以得到充分保障,且eID已經可以載入幾乎所有國內主流手機品牌,普及性也可以得到保障。
公安一所研發的CTID雖然和eID採用了不同的技術路線,但是同樣可以做到相似的安全性、隱私性、普及性。隨著數字身份體系的發展,簡訊驗證碼在身份認證方面的應用完全被可以被取代。
除了數字身份體系,兩步驗證也是頂替簡訊驗證碼非常有競爭力的選擇。谷歌已經開始啟用兩步驗證服務,使用一個專門的應用,在用戶的手機上保存動態密碼。Facebook和Twitter也開始使用不含手機號碼的兩步驗證。
去年3月,美國四大運營商還合力推出了移動驗證平台以取代簡訊驗證碼。簡訊驗證碼一旦被取代,薅羊毛等黑灰產也將得到有效遏制。
現在應該怎麼辦?
數字身份體系的發展和普及不可能一蹴而就,雖然近兩年已經得到了快速的發展,但是想要淘汰手機號+簡訊驗證碼建立的實名制體系還需要等待很長一段時間。在這一段時間內,用戶能做什麼呢?
信安標委今年2月發布的《應對截獲簡訊驗證碼實施網絡身份假冒攻擊的技術指引》中建議,各移動應用、網站服務提供商對業務系統中簡訊驗證碼的使用方式進行摸底,例如在用戶註冊、密碼找回、資金支付等環節的簡訊驗證碼使用情況,並評估相關安全風險,優化用戶身份驗證措施。建議採用多種方式組合,加強安全性。
這份指南同時強調,個人用戶應做好手機號、身份證號、銀行卡號、支付平台帳號等敏感信息的保護。在收到來歷不明的簡訊驗證碼等異常情況時,提高警惕,及時聯繫相關移動應用、網站服務提供商。
換句話說,用戶能做的只有期望於盜刷不要發生在自己身上,在盜刷發生後第一時間報警,如果真的害怕,可將大額資金轉移到未綁定支付平台的銀行卡,防止巨大損失。剩下的,就是等待,等待三大運營商修復漏洞,或者手機號+簡訊驗證碼實名制體系被頂替。