其他分享
首页 > 其他分享> > 360最新bug -手机验证码的安全性

360最新bug -手机验证码的安全性

作者:互联网

原文链接:http://news.youth.cn/sh/201810/t20181025_11763732.htm

对作者感兴趣的小伙伴请关注我csdn并分享链接,当然,文章如有错误评论区联系我及时更正,定期更新冷知识QAQ,感谢各位看官姥爷,爱你摸摸哒 mua!!!

大致意思:

什么是短信嗅探技术?
该如何应对?发生盗刷后,责任到底由谁承担呢?

当你的网络突然变差,

紧接着接到关于银行和购物平台的验证码,

转眼间你的银行卡被洗劫一空。

这个时候你的手机可能被“嗅探”盯上了!

这不是开玩笑,也非科幻电影中的场景,

而是现实世界中短信嗅探设备对手机用户实施不法侵害?
  
眼睛一闭一睁,钱没了。

你可能会想,开什么玩笑?

可是,这个“梦魇”却成为了现实。

什么是短信嗅探技术?

短信嗅探技术是在不影响用户正常接收短信的情况下,

通过植入手机木马或者设立伪基站的方式,

获取用户的短信内容。

这其中就包括来自银行、第三方支付平台和移动运营商的短信验证码。
可见,攻击者们为牟利,

早就已经盯上“验证码”,

并且获取验证码的方式花样百出。

那么谁该为此事负责?

毋庸置疑,窃取手机中账户信息及财产的攻击者,是此次事件中最该承担责任。

除了该事件的始作俑者,背后盗取用户财产的攻击者之外,运营商是否需要为此次验证码事件负责呢?

运营商作为网络通信的提供者,可以说承担着亿万用户的直接安全责任。 但一直以来运营商遵循的都是“可用性”大于“安全性”的原则,比如为了让移动网络覆盖到更广的地方,运营商们至今仍然运营安全系数极低的2G网络。追求“可用性”无可厚非,但安全性无法保证,无疑为心存不轨者供了客观条件。

另一方面**,对于APP厂商,也需要承担很大责任**。 也许正是因为APP安全措施不够完善,攻击者才可以在用户不知情的情况下实现盗刷操作。而且,部分APP目前还在采用单纯的“手机号+验证码”模式来验证身份,在如此恶劣的安全环境之下,这绝对是目前安全系数最低的一种身份验证方法。

万一遇上嗅探短信该咋整?

该如何应对?

专家建议,除了短信验证码之外,再新增短信上行验证、语音通话传输、常用设备绑定、生物特征识别、动态选择身份验证方式等等诸多二次验证机制,以此来保证用户的信息、财产安全。

用户可以要求运营商开通VoLTE功能(一种数据传输技术),让短信通过4G网络传输,防范无线监听窃取短信。也就是说,通信运营商应考虑加快淘汰2G网络技术,以更大程度确保信息安全。

据媒体报道,还有一些不法分子在出售嗅探设备。

非法买卖、使用短信嗅探设备触犯哪些法律法规?

律师认为,如购买者擅自设置、使用无线电台(站)或者擅自使用无线电频率,干扰无线电通讯秩序,造成公用电信设施不同程度中断,使不特定多数的个人无法正常进行通讯联络活动,其行为可能构成破坏广播电视设施、公用电信设施罪、扰乱无线电通讯管理秩序罪。

此外,若使用者实施了盗刷银行卡的行为,则可能同时构成盗窃罪、信用卡诈骗罪等。
对于使用短信嗅探设备的行为,

应该加大打击的同时,

期望通信运营商加快淘汰2G网络技术,

确保用户的短信和通话内容,

不被他人截获窃取,

对于这种“黑科技”,

个人要注意这些!

1、平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护。

2、如果自己的手机信号忽然从4G降到2G,有可能手机会受到攻击,请马上暂时启动飞行模式。

3、假如收到不明短信验证码,要马上意识到可能已被劫持攻击,要马上联系短信所属的移动应用和网站服务提供商,并可考虑暂时关机。赶紧查看自己的银行卡和支付应用,这时如果发现钱被盗刷,可以立刻报警。
此外,有些银行APP安全功能,可以对此进行防备,比如开启常用设备管理。目前一些国产手机,就已经支持防伪基站功能,可以在一定程度上保护用户的信息和财产安全。

相信很快,利用手机验证码实现盗刷的恶劣行为将会逐渐被各方安全势力联合绞杀。

有话说

不法分子利用验证码来盗刷银行卡的恶意攻击行为越来越猖獗。所以各大运营商以及APP厂商在身份验证、信息保密等方面的安全措施必须加紧完善,不然,越来越多的用户被盗刷,不仅用户面临着经济损失,作为承担责任的一方,各大厂商自己也会遭受巨大损失和来自用户前所未有的信任危机。

采访专家:360无线电安全研究院负责人 黄琳

中关村信息消费联盟理事长 项立刚

湖北弘愿律师事务所律师 余桂林

标签:短信,APP,用户,嗅探,验证码,运营商,bug,360
来源: https://blog.csdn.net/weixin_43888456/article/details/122031281