【要闻】睡一觉就一无全部了，手机验证码是如何泄露的？

本篇文章2880字，读完约7分钟

虎嗅注:看起来严密的安全防护手段总是有各种各样的漏洞，我们最常用的手机验证码可能就是其中之一。 到底背后的原因是什么？ 果壳网就此邀请了网络安全专家tk教主进行了详细的分解。

本文由《果壳网》( id:guokr42 )、作者: tombkeeper、: ent、柴火转载。

关于豆瓣上的多个账户被盗的帖“这样就全部用完了”最近点燃了。

受害者的手机半夜连续收到100多件验证码，醒来发现自己的支付宝( Alipay )等账户被盗，损失很大。

发生了什么？ 从这些记述中，不足以判断攻击者使用了什么样的方法。 有人推测是通过无线监听偷了验证码消息，也有人说睡前切断电源就不会被无线监听。

不幸的是，安全问题并不多复杂。 偷短信不一定只能通过无线电监听。 即使用无线监听攻击，睡觉前切断电源也不一定能防止。

但是，为什么银行支付宝( Alipay )等机构选择了采用SMS验证码的机制，该机制为什么不安全，普通顾客能做什么，还可以说。

短信captcha到底起什么作用？

一般来说，新闻系统不太可靠。 几年前，当互联网安全环境恶化时，大部分计算机至少感染了一个恶意软件。 现在情况很好，恶意软件的感染量比以前少很多，但服务器方面泄露数据的情况依然很多。 除此之外，坏人手里有过去十几年陆续被盗的各种数据，所以我们在考虑安全问题时，只能假设每个人的基本消息:姓名、住址、身份证号码、常用密码等只有一个。

许多方法用于在不可靠的新闻系统中进行哪怕一点也可靠的重要操作。 其中之一是“双因子验证”( two-factor verification )。

比如用电脑做网上银行。 设计网上银行安全系统的人必须假设你的账户密码迟早被坏人偷了.。 在这种情况下，如何防止坏人用你的账户密码登录你的网上银行？

大家熟悉的“u盾”是一种应对方法。 这个设备是独立于电脑存在的。 在电脑上操作网上银行，把你账户上的钱交给别人，需要把这个设备连接到电脑上。 坏人没有你的“u盾”，即使拿到你账户的密码，也动不了你的钱。 这里，你的密码是验证因子，u盾是另一个验证因子。 需要密码+u盾，可以验证身份注册网银转账。 这是双因素验证。

2因素验证的想法其实很古老，比计算机技术老得多。 有些银行金库的门只有两个人分别保管的两把钥匙一起操作才能打开。 这是双因素验证。 美军发射民兵核导弹，除了2个操作员分别用确认键打开钥匙验证发射代码的正确性外，2个人还需要将2个发射键插入2个发射孔进行旋转。 另外，两个孔设计得很远，可以防止一个身体，旋转两个键。 这是高级版。

u盾这个处理方法比较安全。 但是互联网安全行业有“不可能的三角”。 “安全-方便-便宜”三个是不可能达成的。

u盾案价格不高，安全性也很好，但不方便。 因为如果随时使用网上银行的话，随时都会携带USB屏蔽。

因此，在安全要求不是很高的情况下，广泛采用了手机的SMS验证码这一其他验证因子。 手机总是随身携带，这种做法比用u盾方便多了。

手机对电脑是独立的设备。 短信验证码对客户密码也是独立的。 如果攻击者掌握了很多顾客的个人数据，即使入侵了顾客的电脑，也无法得到手机的邮件，那么用手机的邮件制作独立的验证因子也是可靠的。

但是，由于网络环境的变化，邮件验证这种方式面临着问题。

短信验证的漏洞

在高端以外的智能手机时代，侵入手机偷邮件很困难。 不是不可能，但很难。 但是，随着高端智能手机的普及，侵入手机偷邮件变得比较容易。 例如，许多app有权阅读消息。 只要这些app中的任一个有漏洞，或者本身是恶意的，你的邮件也很危险。

另外，对于用电脑访问的业务来说，消息认证码是比较独立的因子。 但是，对于用手机访问的业务来说，SMS验证码并不那么独立。 电脑陷落后，邮件可能也是安全的。 但是，即使在手机陷落后，邮件也很有可能得到攻击者。

不用入侵手机就可以偷邮件。 几年前，一些运营商开始了“短信保管箱”的业务。 客户可以使用电脑在运营商的网站上在线读取SMS。 这意味着，如果计算机被入侵，SMS也将无法保护，而不是独立可靠的因子。 网络罪犯开始利用这个。 最终“邮件保管箱”业务取消了。

现在运营商没有在网站上留言，但有些手机有自动将邮件备份到云的功能。 打开这个功能后，攻击者只要掌握你的云帐户，就可以访问邮件。 此时，邮件也不再是独立可靠的因子。

如果不打开手机把邮件留在云中的功能，手机就不会入侵。 邮件不会被偷吗？ 即使今天使用诺基亚黑白画面的手机，邮件也有可能被盗。 因为短信中使用的无线信道不那么可靠。 现在国内的3g/4g正在普及，但大部分地区都在网上走3g/4g。 邮件还在不安全的gsm网上发送。 gsm非常容易被监听。

十几年前，监听无线信号偷邮件，使用的设备至少值几十万元。 但是今天，几千元就能买到同样功能的设备。 要求不高的同时自己动手的话，不到100元就能制造出勉强使用的设备。 我去年做了相关主题的演讲。 其中，我们谈到了这种设备价格下降对安全造成的威胁。 下图是监听无线信号得到的运营商流量警告消息。

作者监听和获取无线信号的消息

有些人说晚上睡觉前关掉手机可以防止无线监听偷邮件。 这话只有一半是对的。 想一想:给别人发邮件的时候，即使对方的手机没电了，邮件还能发吗？ 所以，睡觉前关闭手机可能会防止攻击者来到你附近偷消息，但不能阻止攻击者在消息发送者附近偷消息。 例如攻击者要窃取a企业发送来的验证码，只要在a企业发送邮件的设备附近监听无线信号即可。 对攻击者来说，a企业在发送邮件的设备附近拦截显然是一种成本效益很高的方法。 因为只要在这个地方，就可以偷所有a企业的验证码。

有应对SMScaptcha错误的方法吗？

用短信实现两个因素的验证，还是比完全没有两个因素好。 但是，由于存在这些问题，即使在今天，SMS验证码也可能能够生成验证因子，但各企业在设计业务安全系统时，需要降低其可靠性。 至少需要结合地理新闻、设备新闻、顾客特征等进行综合评价。 和多年前一样，只有一个SMS验证码不能明确顾客的身份。

客人也不是没办法。 打开volte功能，信息也可以通过3g/4g通信网络传输，使无线监听引起的信息盗窃变得困难。 具体的做法是:

但是，现在并非所有运营商都支持volte。 如果重视安全，建议禁用wifi，禁用移动互联网，另外准备只用于用电话发送邮件的手机。 所有重要的验证码都只用这个手机接收。 关于“睡觉前切断电源”，可能有那么多。 但是，手机毕竟是联系手段，万一家人晚上有急事找你呢？

关于运营商，为了防止无线监听对消息的盗窃攻击，必须加快2g互联网的废弃，尽快使消息服务默认采用volte。 手机制造商也需要为客户提供关闭2g支持的选项。 否则，即使运营商默认使用volte，攻击者也可能有方法将客户的通信降级为gsm。 用于发送各企业自制消息的“猫池”也必须升级为使用volte发送。