短信嗅探盗刷会是推倒短信验证码的最后一根稻草吗
近日,一篇《卡在,钱没了!"短信嗅探"三公里内刷爆所有银行卡》的报道再次让短信嗅探技术出现在了人们面前。所谓短信嗅探技术,是通过特殊设备可以采集附近手机号码和机主信息,实现不接触目标手机,而获得目标手机所接收到的验证短信的犯罪手段。
有人认为短信嗅探盗刷是因为各大银行、购物网站和移动支付App存在漏洞,但就作者来看,短信嗅探盗刷的本质是因为电信企业没有做好数据全生命周期保护,而且这一身份认证手段是时候退出市场了。
短信验证码传输风险早有人提出
短信验证码主要用于用户实名认证,在国内使用短信验证码已经成为了各大App、网站的基本操作。使用短信验证码可以完成登录、更改密码、转账、支付等诸多操作,从实质作用上,短信验证码已经变成安全口令:一个双方约定好、只具有一分钟生命的安全口令。
但是这个安全口令本身并不安全,事实上在2017年就有人提出了这个安全隐患:360 Unicorn Team的黄琳博士在阿姆斯特丹公开演示、验证LTE重定向攻击的可能性;中国海天集团有限公司创始人兼CEO Seeker在同年以如何利用LTE/4G伪基站+GSM中间人攻击攻破所有短信验证为主题举行了公开课。
Seeker认为,3GPP制定协议标准时,在考虑发生紧急情况、突发事件时可能产生大量手机业务请求,需要能及时调度网络请求,转移压力,这时候大量的鉴权、加密、完整性检查等安全措施可能导致网络瓶颈,因此舍弃了部分安全措施,由此产生了安全漏洞。
也就是说,短信验证码被拦截是因为相关企业没有做好数据全生命周期保护,在数据传输过程中出现了致命的漏洞。而这个漏洞由于属于设计漏洞,因此修复难度大、成本高。
部分专家认为短信被嗅探并导致手机银行被盗发生场景的概率是极低的,普通用户无需过于担心,更不需要在晚上睡觉时“主动关机”。
但实际上,这个漏洞的位置和用户的位置正好位于不可触及的两端,用户除了关机或打开飞行模式并没有什么很好的防御方法。只要被攻击,短信验证码肯定会被拦截,至于会不会被盗刷,主要看支付平台风控做的如何,用户完全无法控制。
时代变了,是时候让短信验证码退出市场了
2015年是短信验证码高速发展的时期,到2016年,短信验证码已经成为中国互联网的标配。发展快速很大一部分原因是网信办在2015年2月发布的《互联网用户账号名称管理规定》。
《规定》要求,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号,且3月开始实施。由此,中国互联网开始建立一个基于手机号码绑定的实名制网络空间。
短信验证码绝对不是完成网络实名制最安全的办法,但是在当时,这是最便捷的方法,限于技术、时间诸多因素,短信验证码的普及可以说是必然。近几年有不少专业人士都希望可以推倒短信验证码,更换为其他实名认证手段,但同样因为技术、时间等诸多因素难以实施。
但是现在,时代变了。随着生物识别技术的普及和数字身份认证研究的进步,摆脱短信验证码的可能性出现在眼前。数字身份体系的逐渐普及或许可以让短信验证码退出市场。
以公安三所研发的eID举例,其签发由公安部公民网络身份识别系统完成,用户身份认证通过生物识别技术完成,网络身份认证通过用户网络身份应用标识编码(appeIDcode)完成,安全性和隐私性可以得到充分保障,且eID已经可以载入几乎所有国内主流手机品牌,普及性也可以得到保障。
公安一所研发的CTID虽然和eID采用了不同的技术路线,但是同样可以做到相似的安全性、隐私性、普及性。随着数字身份体系的发展,短信验证码在身份认证方面的应用完全被可以被取代。
除了数字身份体系,两步验证也是顶替短信验证码非常有竞争力的选择。谷歌已经开始启用两步验证服务,使用一个专门的应用,在用户的手机上保存动态密码。Facebook和Twitter也开始使用不含手机号码的两步验证。
去年3月,美国四大运营商还合力推出了移动验证平台以取代短信验证码。短信验证码一旦被取代,薅羊毛等黑灰产也将得到有效遏制。
现在应该怎么办?
数字身份体系的发展和普及不可能一蹴而就,虽然近两年已经得到了快速的发展,但是想要淘汰手机号+短信验证码建立的实名制体系还需要等待很长一段时间。在这一段时间内,用户能做什么呢?
信安标委今年2月发布的《应对截获短信验证码实施网络身份假冒攻击的技术指引》中建议,各移动应用、网站服务提供商对业务系统中短信验证码的使用方式进行摸底,例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。建议采用多种方式组合,加强安全性。
这份指南同时强调,个人用户应做好手机号、身份证号、银行卡号、支付平台账号等敏感信息的保护。在收到来历不明的短信验证码等异常情况时,提高警惕,及时联系相关移动应用、网站服务提供商。
换句话说,用户能做的只有期望于盗刷不要发生在自己身上,在盗刷发生后第一时间报警,如果真的害怕,可将大额资金转移到未绑定支付平台的银行卡,防止巨大损失。剩下的,就是等待,等待三大运营商修复漏洞,或者手机号+短信验证码实名制体系被顶替。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。