Atitit 短信验证的漏洞 目录 1.1. APP读取短信 1 1.2. 手机上访问的业务来说,短信验证码就没那么独立了 1 1.3. 短信保管箱” 1 1.4. 自动把短信备份到云端的功能。 2
Atitit 短信验证的漏洞
目录
1.2. 手机上访问的业务来说,短信验证码就没那么独立了 1
2.2. 用户也不是毫无办法,可以尝试开通VoLTE功能, 3
在非智能手机时代,要入侵手机窃取短信是比较困难的——不是不可能,但比较困难。但随着智能手机的普及,入侵手机窃取短信已经变得比较容易。比如,很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞,或者干脆本身就是恶意的,那你的短信也就危险了。
另外,对于用电脑访问的业务来说,短信验证码是相对独立的一个因子。但对在手机上访问的业务来说,短信验证码就没那么独立了。电脑沦陷后,短信可能还是安全的。但手机沦陷后,短信也很可能也会被攻击者拿到
而甚至不入侵手机也可以窃取到短信。前几年,有些运营商推出了“短信保管箱”业务,用户可以用电脑在运营商网站上在线读取短信——也就是说,如果你的电脑被入侵了,短信也就保不住了,不再是一个独立可信的因子。所以一些网络犯罪者就开始利用这一点
但有些手机有自动把短信备份到云端的功能。如果开启了这个功能,那么攻击者只要掌握了你的云端账号,就可以访问到短信。这时候,短信也不再是一个独立可信的因子了。
即使你今天仍在使用诺基亚黑白屏手机,短信还是可能被窃取。因为短信所用的无线信道并不那么可靠。虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的GSM网络在发送,而GSM是非常容易被监听的。
在十几年前,如果要通过监听无线信号窃取短信,所用设备至少价值几十万元。但在今天,数千元就能买到同样功能的设备。如果要求不高并且愿意自己动手,花上不到一百元也能做出勉强可用的设备。我 2013年做过一个相关主题的演讲,其中谈到了这类设备成本下降对安全的威胁。下面这张图就是当时通过监听无线信号获取到的一条运营商流量提醒短信:
有人说晚上睡觉前把手机关机就能防止通过无线监听窃取短信。这话只对了一半。你们想一下:给别人发短信的时候,如果对方手机关机了,短信是不是仍然可以发的出去?所以,睡觉前把手机关机也许可以防止攻击者到你的附近窃取短信,但无法阻止攻击者在短信发送者附近窃取短信。比如攻击者要窃取A公司给你发的验证码,只需要在A公司发短信的设备附近监听无线信号即可。而对攻击者来说,在A公司发短信的设备附近进行监听显然是更划算的做法。因为只要在这一个地方,就能实现窃取所有A公司发出的验证码。
靠短信实现双因子验证,总还是比完全没有双因子要强的。但因为存在上面这些问题,所以在今天,短信验证码也许仍然可以作为一个验证因子,但各公司在设计业务安全体系的时候,对它的信任度需要调低一些。至少需要结合地理位置信息、设备信息、用户特征等等来综合判断。而不能像很多年前一样,仅凭一个短信验证码就确定用户身份
让短信也通过3G/4G网络传输,增加通过无线监听窃取短信的难度。具体方法是:电信用户发送“KTVoLTE”到10001,移动用户发送“KTVoLTE”到10086,联通用户发送“VBNCDGFBDE”到10010。但目前不一定所有运营商在所有城市都支持了VoLTE。如果对安全比较重视,
这台手机禁用WiFi,禁用移动网络,仅用于打电话发短信。所有重要的验证码都只用这台手机来接收。至于“睡觉前关机”,也许有那么一点用
至于运营商,为阻止通过无线监听窃取短信的攻击,应加快2G网络的淘汰,尽早让短信业务默认都使用VoLTE。手机厂商也应向用户提供关闭2G支持的选项。否则,即使运营商默认用了VoLTE,攻击者还是可能有办法让用户的通信降级到GSM。而各公司自建的用来发送短信的“猫池”,也应升级为使用VoLTE来发送。(编辑:Ent)
Atitit title 头衔 头街 称号 v22
作者简介
艾提拉 艾龙 attilax,法名 st attilax akbar rinpoche 圣阿提拉科斯阿克巴仁波切
头街软件技术大师 uke组织创始人
学术成就,完善的20大知识体系,拥有uke学院硕士博士学位
从事软件互联网行业技术背景十二年,csdn排名TOP57
长年从事软件互联网技术与管理,预计出版多本心得分享书籍
擅长技术与管理与文化 致力于标准化事业
Qq 1466519819 小号112237553
微信attilax 小号attilax201708
作者:: 绰号与头街 :老哇的爪子claw of Eagle 偶像破坏者Iconoclast image-smasher 神的使者(Messenger of God)及守望者(Watch Man
捕鸟王"Bird Catcher kok 虔诚者Pious 宗教信仰捍卫者 Defender Of the Faith. 卡拉卡拉红斗篷 Caracalla red cloak KOA万兽之王 纵火者
头街来源:神的使者(Messenger of God)及守望者(Watch Man来源于圣经
老哇的爪子claw of Eagle来源于印加帝国
KOA万兽之王 来源于婆罗门大神森林中修炼
简称:: st Emir Attilax Akbar 圣 埃米尔 阿提拉克斯 阿克巴
全名::st Emir Attilax Akbar bin Mahmud bin attila bin Solomon bin adam Al Rapanui 圣 埃米尔 阿提拉克斯 阿克巴 本 马哈茂德 本 阿提拉 本 所罗门 本亚当 阿尔 拉帕努伊
常用名:艾提拉(艾龙), EMAIL:1466519819@qq.com
喜欢的绰号 捕鸟王纵火者 老瓦的爪子兔子的耳朵
喜欢的头街 st圣 仁波切 大师 马斯塔 艺术家 博士 诗人 国王
头衔:
uke | Emir Uke部落首席大酋长,ati协会创始人 仁波切马斯塔 埃米尔 uke总部o2o负责人,全球网格化项目创始人, 圣阿提拉克斯国王 |
科技领域 | UTSC uke技术标准化委员会委员长 uke 首席cto 软件部门总监 技术部副总监 研发部门总监主管 产品部副经理 项目部副经理 uke科技研究院院长 uke软件培训大师 Ati组织科研研究院创始人
|
文艺领域 | , ,, uke机车协会主任 uke纹身协会 uke交友协会会长 uke捕猎协会会长 Ati文艺协会会长 ati文学协会
|
行政领域 | Gchsp总裁 gchsp常委 GsP创始人 |
媒体传播领域 | uke出版社编辑总编 宣传布道总策划 Ati传媒总部
|
渔猎军事领域 | uke保安部首席大队长 Uke 户外运动协会理事长 度假村首席大村长 Ati打猎协会 |
法学 | 法学研究会 制度研究会 |
管理领域 | 工商管理学 公共管理与社会服务 ,uke制度检查委员会副会长 |
教育领域 | uec学院校长, uecip图像处理机器视觉专业系主任 uke文档检索专业系主任 Uke图像处理与机器视觉学院首席院长 uke终身教育学校副校长 靓号研究院
|
经济领域 | uke波利尼西亚区大区连锁负责人 汤加王国区域负责人 uke克尔格伦群岛区连锁负责人,莱恩群岛区连锁负责人,uke布维岛和南乔治亚和南桑威奇群岛大区连锁负责人 Uke软件标准化协会理事长理事长 Uke 数据库与存储标准化协会副会长 直达巴士西北区负责人 直达巴士长沙与西安分部部长 润昌通讯软件事业部总裁 执行长 分部负责人 执行委员会主席 Ati经济研究所 |
历史领域 | 历史事业部 ati历史研究院 |
社会科学领域 | 社科学院 ati文化部 |
自然科学领域 | Uke研究院院长兼首席研究员 科学家 Ati自然科学研究院 |
宗教神学领域 | uke宗教与文化融合事务部部长 大师master uke制度与重大会议委员会委员长 ati宗教事务所 |
医学领域 | Uke医院 与医学院方面的创始人
|
转载请注明来源:attilax的专栏 http://blog.csdn.net/attilax
http://www.cnblogs.com/attilax/
Microblog
http://weibo.com/u/5941179815 (common attilax)
https://weibo.com/p/1005055941179815 (attilax201707,bek weibo)
http://weibo.com/u/5487832265 (tech,for blog auto gene)
知乎空间
https://www.zhihu.com/people/ati-att/activities
Qq 1466519819 小号112237553
微信attilax 小号attilax201708
微博 attilax2016 小号attilax201707
--Atiend v23
修改历史记录
V23 增加了喜欢的头街
喜欢的绰号 捕鸟王纵火者 老瓦的爪子兔子的耳朵
喜欢的头街 st圣 仁波切 大师 马斯塔 艺术家 博士 诗人 国王
V22增加艾提拉 和头街马斯塔
V21 增加神的使者头街 守望者
在旧约中,“神人”(Man of God),神的使者(Messenger of God)及守望者(Watch Man),也是指先知。他们是负有上帝特殊使命的人,同时又是关心世人灵性问题的人
V20 增加了7行的作者简介
V18增加了GsP 头街 v19增加了圣字头街与 圣阿提拉克斯王国国王头街
V17 增加了ati组织的头街
V16 结构化表格化头街 ,并且 头街增加一些。充实了空虚。
V15 增加了知乎空间 微博大小号
V14 增加小号,以及通讯公司与直达巴士分部
V12 增加机构utsc
V10 增加了microblog
万兽之王本来这个是湿婆的。。
V7 增加了研究院title
V8 去了奶牛科技的东东
V9 融和俩个v8版本。。
增加了cnblogs的url