睡一觉钱就没有了,手机验证码为什么危险

睡一觉钱就没有了,手机验证码为什么危险

8月1日,豆瓣网友“独钓寒江雪”发文称早晨醒来后手机接到支付宝、京东、银行等上百条验证码,被转走了很多钱。随后京东金融、支付宝等都做了回应和处理,不过大家关心的是短信验证码是否安全,这里先说结论GSM(2G)网络的短信是非常不安全的。


短信验证不安全这是用户资金安全产生危机的最重要原因之一,为什么短信验证会不安全,别人为什么会接收到自己的短信呢?这要从GSM的通信网络和协议说起。



在通信玩过中,手机与网络侧要配合完成用户鉴权,通过验证获得授权才能接入,这样就保证了运营商和用户的合法权益。GMS网络也是有鉴权的,GSM网络的鉴权主要涉及AUC、HLR、MSC/VLR、MS(手机),鉴权的主要流程如下所示:


图片来源:中兴PPT


可以看到GSM网络的鉴权是有漏洞的,只能网络对手机鉴权,手机无法对网络鉴权,换句话说就是用户手机端无法鉴别连接的是不是非法的设备(伪基站)。所以GSM网络有伪基站的问题,这是GSM网络的漏洞所决定的,而WCDMA、LTE等都是双向鉴权,可以解决这个问题,并且在加密等方面也都进行了完善。另外需要注意的是空口是不加密的,也就是我们在空口截获的短信等信息是明文。事实上截获语音也是没问题的,只是需要编解码,也不难。

攻击的原理也很简单,GSM伪基站嗅探得到手机的TMSI,然后把手机的参数复制到转发模块上向GSM网络发起Pagging,然后就得到了手机号码,在利用手机号码和转发模块获得的验证码登陆。

但是做到这步并不一定能转移你的财产,很可能还需要你的身份证,交易密码,银行卡号等信息,这些信息就需要靠撞库来完成了。所以,保证自己注册的网站的网站等信息不被泄露也是很重要的一点,然而很遗憾的是很多网站根本没有安全意识,国内最大的程序员社区CSDN的就被拖库过,更让人不可理解的是CSDN居然是明文存储密码,不止CSDN,网易这样的大公司也一样被拖库。

如何防范?

  1. 电信用户不用担心,CDMA目前还比较安全(没有绝对安全);联通用户也不用太担心,联通在清退GSM网络;移动用户?做好防范吧。
  2. 因为众所周知的历史问题,移动关闭的是3G网络,在4G覆盖不到的地方CSFB回落到2G,所以移动的2G网络短期内是不会关闭的,这是比较危险的。如果设置成 LTE only也会有问题,没开通VoLTE的地区无法通话,LTE没覆盖到的地方没信号。
  3. 上面说的方法需要很长的时间,期间很容易被用户发现,所以通常是在晚上进行,晚上手机关机也是可以有效避免的。
  4. 仅通过短信就可以登陆、修改密码、支付对于金融产品来说本来就是草率不负责的,虽然说是为了便利,但是这种便利要在安全的基础上,这需要支付机构的改进。
  5. 有良好的账号、密码使用习惯,防止被撞库破解。
  6. 短信的云同步也是一个比较危险的行为,需要注意。


欢迎关注个人公众号:

睡一觉钱就没有了,手机验证码为什么危险mp.weixin.qq.com图标

编辑于 2018-08-06

文章被以下专栏收录