雷鋒網(wǎng)注：本文轉(zhuǎn)載自微信公眾號(hào)“360UnicornTeam”，作者：黃琳，360 UnicornTeam 安全專家，雷鋒網(wǎng)已獲授權(quán)。

－－

微博網(wǎng)友@ -美年達(dá)芬奇 （豆瓣ID“獨(dú)釣寒江雪”）7月30日發(fā)現(xiàn)，凌晨她的手機(jī)收到了100多條驗(yàn)證碼，支付寶、京東、銀行什么都有。

有人使用她的京東賬戶、支付寶等等，預(yù)定房間、給加油卡充值，總計(jì)盜刷了1萬(wàn)多元。對(duì)于這起案件，很多人懷疑是“GSM劫持+短信嗅探”，我們尚未看到公安機(jī)關(guān)或者運(yùn)營(yíng)商的官方聲明，所以還不能確定這是一起短信驗(yàn)證碼劫持嗅探攻擊。

但是！但是！短信驗(yàn)證碼確實(shí)不是一個(gè)安全的通道，需要各應(yīng)用的開發(fā)者和廣大用戶提高警惕。

攻擊手段

首先列舉一下竊取短信驗(yàn)證碼有哪些攻擊手段：攻擊等級(jí)：*號(hào)表示難度

0. 偽基站垃圾短信    *

1. 嗅探GSM短信    **

2. GSM中間人獲取手機(jī)號(hào)碼    ***

3. 將從3G/4G降級(jí)到2G    ****

4. 3G/4G中間人攻擊    *******

我們簡(jiǎn)單講解一下這幾種攻擊方法的原理。

0級(jí)攻擊 – 偽基站垃圾短信

偽基站發(fā)垃圾短信這種攻擊手法大家已經(jīng)熟知。不法分子直接拉著大功率的偽基站出去，大把大把的撒垃圾短信。就像發(fā)小廣告一樣，發(fā)一大堆，總有那么一兩個(gè)中招的。

垃圾短信不那么可怕，釣魚詐騙短信是比較可怕的，其中含有惡意鏈接，不小心點(diǎn)擊之后會(huì)中木馬，或者讓你填寫機(jī)密信息等等。

1級(jí)攻擊 – GSM短信嗅探

這種攻擊的原理是因?yàn)镚SM短信沒有加密，所以不法分子可以用一些竊聽手法聽到短信內(nèi)容。這種方法是被動(dòng)的，就是只“聽”，不發(fā)射任何非法的無(wú)線信號(hào)。

2級(jí)攻擊 – GSM中間人獲取手機(jī)號(hào)碼

攻擊者只聽到短信，其實(shí)沒什么用，短信驗(yàn)證碼需要配合網(wǎng)站或者app的驗(yàn)證過(guò)程才能起作用。所以，攻擊者必須要知道目標(biāo)的手機(jī)號(hào)碼，可能還需要其他信息，例如身份證號(hào)，銀行賬號(hào)等等，其他這些信息可以通過(guò)“撞庫(kù)”，或者通過(guò)侵入某些應(yīng)用的賬戶來(lái)獲得。

那么攻擊者如何獲得手機(jī)號(hào)碼呢？是通過(guò)中間人攻擊實(shí)現(xiàn)的。

攻擊者需要一個(gè)2G偽基站+一個(gè)2G偽終端，讓目標(biāo)手機(jī)接入2G偽基站，然后用2G偽終端冒充目標(biāo)手機(jī)，接入運(yùn)營(yíng)商網(wǎng)絡(luò)。連接過(guò)程中，需要鑒權(quán)信息的時(shí)候，就從目標(biāo)手機(jī)那里取。連上網(wǎng)絡(luò)之后，向外呼出一個(gè)電話，到攻擊者能看到的一個(gè)手機(jī)上，攻擊者通過(guò)來(lái)電顯示就看到了手機(jī)號(hào)碼。

我們注意到，“獨(dú)釣寒江雪”的案例中，她提到通話記錄中當(dāng)天凌晨有一個(gè)外呼南京的電話，這個(gè)電話就有可能是用于獲取手機(jī)號(hào)碼的。

以前黑產(chǎn)的實(shí)力主要處于0級(jí)，今年以來(lái)，從各地報(bào)道的案例來(lái)看，黑產(chǎn)的實(shí)力至少進(jìn)化到了2級(jí)。例如，《廣州日?qǐng)?bào)》7月27日的報(bào)道（http://gzdaily.dayoo.com/pc/html/2018-07/27/content_97308_529016.htm）

3級(jí)攻擊 – 強(qiáng)迫從3G/4G降級(jí)到2G

手機(jī)待在3G/4G網(wǎng)絡(luò)中是比較安全的，但是攻擊者有辦法把手機(jī)降級(jí)到2G。最簡(jiǎn)單的一種方法是發(fā)射強(qiáng)干擾信號(hào)。

這種做法直接把3G、4G的路炸了，手機(jī)發(fā)現(xiàn)走不通，就只好走到2G的路上去。不過(guò)要暴力干擾掉所有的3G/4G通道，是需要很大能量的，設(shè)備就會(huì)非常大，所以黑產(chǎn)用起來(lái)會(huì)不太方便。

另外一種更高級(jí)一點(diǎn)的辦法，是再用一個(gè)4G偽基站，欺騙手機(jī)，“4G網(wǎng)絡(luò)不能用了啊，到我這個(gè)2G網(wǎng)絡(luò)來(lái)吧”，于是手機(jī)就乖乖的過(guò)去了。

這種手法我們?cè)?016年初HITB阿姆斯特丹會(huì)議上講過(guò)，后來(lái)Seeker在KCon上也講過(guò)

（http://www.ozgbdpf.cn/news/201612/IP3S4Z9Z8VwLbfPr.html） 。 

最后我們團(tuán)隊(duì)還推動(dòng)了這個(gè)問(wèn)題在標(biāo)準(zhǔn)中的修復(fù)，有個(gè)很長(zhǎng)的故事，可以看這里（http://unicorn.360.com/blog/2017/12/11/3gpp-lte/）。

黑產(chǎn)實(shí)力到達(dá)3級(jí)還是有可能的，只是攻擊門檻略高一點(diǎn)。

4級(jí)攻擊 – 3G/4G中間人攻擊

要達(dá)到4級(jí)攻擊，難度就很大了，我們給了7顆星的難度級(jí)別，尤其是4G中間人攻擊。我們認(rèn)為目前掌握4級(jí)攻擊能力的團(tuán)隊(duì)，全球應(yīng)該在個(gè)位數(shù)！感興趣的可以看我們團(tuán)隊(duì)這篇文章（http://unicorn.360.com/blog/2018/07/03/aLTEr/）。

防御手段

1普通用戶

我們來(lái)看看普通人手機(jī)的防御能力：

• 長(zhǎng)期處于2G，一些老式手機(jī)，或者雙卡手機(jī)其中一張卡是2G，所有電話短信和流量走2G。這種情況連0級(jí)攻擊都抵擋不了。
  

• 長(zhǎng)期處于4G，但沒有開通VoLTE，電話和短信是走2G通道的。擋不住1級(jí)以上的攻擊。

• 長(zhǎng)期處于4G，已開通VoLTE，電話和短信是走4G的。擋不住3級(jí)以上的攻擊，因?yàn)橛锌赡鼙唤导?jí)。

那么可以采取什么防范措施呢？

1.如果你的手機(jī)處于狀態(tài)B，當(dāng)?shù)匾验_通VoLTE業(yè)務(wù)，請(qǐng)及時(shí)開通VoLTE，這可以把你的防御等級(jí)提到C級(jí)。例如中國(guó)移動(dòng)，可發(fā)送KTVOLTE到10086，即可開通。

2.如果手機(jī)處于狀態(tài)A，盡可能換4G手機(jī)，目前最新款的手機(jī)已經(jīng)開始支持雙4G待機(jī)。從而提升防御等級(jí)到B或C。

3.一些支持防偽基站功能的手機(jī)(例如360手機(jī)、小米手機(jī)、華為手機(jī))，對(duì)2、3級(jí)攻擊有一定的防御力，就是說(shuō)遇到2G偽基站，不容易被騙進(jìn)去。這個(gè)防御方法是，手機(jī)會(huì)觀察這個(gè)基站像不像一個(gè)偽基站，如果偽基站偽裝得特別像真的，也可能蒙混過(guò)關(guān)。

4.晚上關(guān)機(jī)，可以防以上所有攻擊類型，但萬(wàn)一有其他問(wèn)題，反而不能及時(shí)聯(lián)絡(luò)到個(gè)人，謹(jǐn)慎選擇。

可以看到，普通用戶能做的，非常有限。

2運(yùn)營(yíng)商

運(yùn)營(yíng)商可以做什么呢？

從以上分析可以看出，只要數(shù)據(jù)流量、通話、短信走3G或者4G通道，安全系數(shù)還是比較高的。短板就是2G網(wǎng)絡(luò)！目前已經(jīng)有很多國(guó)家關(guān)閉了2G網(wǎng)絡(luò)，包括日本、韓國(guó)、美國(guó)、新加坡等多個(gè)國(guó)家、地區(qū)的20多家運(yùn)營(yíng)商已經(jīng)正式關(guān)閉了2G網(wǎng)絡(luò)。中國(guó)的運(yùn)營(yíng)商也在努力遷移用戶，關(guān)閉2G網(wǎng)絡(luò)。

根據(jù)一些報(bào)道（http://mobile.163.com/18/0331/10/DE7J382S0011819H.html），3家運(yùn)營(yíng)商披露的數(shù)據(jù)，2017年， 14.44億的總移動(dòng)網(wǎng)絡(luò)用戶中，尚有3.99億2G\3G用戶，占比超過(guò)27.6%，其中2G用戶接近3億戶。這其中有些是手機(jī)用戶，有些是物聯(lián)網(wǎng)設(shè)備，比如水表電表、共享單車這些。所以2G網(wǎng)絡(luò)不能隨便關(guān)閉，還要堅(jiān)持運(yùn)營(yíng)一些年頭。

有人會(huì)想，那我們能不能讓手機(jī)只駐留在4G網(wǎng)絡(luò)中呢。如果你看看手機(jī)的“首選網(wǎng)絡(luò)類型”設(shè)置，會(huì)發(fā)現(xiàn)有幾個(gè)選項(xiàng)1)4G/3G/2G, 2) 3G/2G, 3)僅2G，可是卻沒有“僅4G/3G”這樣的選項(xiàng)。為什么呢？因?yàn)檫\(yùn)營(yíng)商是給用戶提供通信管道的，“可用性” (availability)是最重要的，萬(wàn)一你遇到4G/3G網(wǎng)絡(luò)覆蓋不好的地方，總得讓你能連上網(wǎng)啊。這就是“可用性”優(yōu)先于“安全性”的原則。

從5G開始，有一個(gè)新特性是，將要給手機(jī)操作系統(tǒng)提供更多的信息，告訴手機(jī)，這個(gè)通信管道的安全性等級(jí)，使用了什么加密算法，完整性保護(hù)算法等等。這些信息有助于App判斷自己當(dāng)前所處的環(huán)境的安全程度。

3互聯(lián)網(wǎng)公司

大家一定會(huì)問(wèn)，App廠商們呢，京東白條，支付寶這些，難道沒有責(zé)任嗎？我們覺得，App廠商們確實(shí)應(yīng)該承擔(dān)最大的責(zé)任。App廠商們一定要意識(shí)到?jīng)]有絕對(duì)安全的管道。

今年年初，在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱TC260）秘書處牽頭下，三大運(yùn)營(yíng)商和各互聯(lián)網(wǎng)公司的安全專家們，一起編制了《網(wǎng)絡(luò)安全實(shí)踐指南—應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，提出多項(xiàng)加強(qiáng)身份驗(yàn)證安全性的建議，除短信驗(yàn)證碼外還新增了短信上行驗(yàn)證、語(yǔ)音通話傳輸、常用設(shè)備綁定、生物特征識(shí)別、動(dòng)態(tài)選擇身份驗(yàn)證方式等等諸多二次驗(yàn)證機(jī)制。

https://www.tc260.org.cn/upload/2018-02-11/1518337506280068120.pdf

這篇指南非常全面的描述短信驗(yàn)證碼的風(fēng)險(xiǎn)，現(xiàn)狀，困難點(diǎn)，最后給出了目前專家們認(rèn)為可行的方案。

難點(diǎn)在于，現(xiàn)在我們還不能徹底拋棄短信驗(yàn)證碼。中國(guó)網(wǎng)民跟國(guó)外網(wǎng)民的不同點(diǎn)是，國(guó)外網(wǎng)民是從PC時(shí)代過(guò)來(lái)的，習(xí)慣于使用郵箱，用戶名密碼。中國(guó)網(wǎng)民是從移動(dòng)互聯(lián)網(wǎng)時(shí)代成長(zhǎng)起來(lái)的，手機(jī)就是唯一的標(biāo)識(shí)。

為了短信驗(yàn)證碼用還是不用的問(wèn)題，各個(gè)App的產(chǎn)品經(jīng)理和安全團(tuán)隊(duì)能打起來(lái)。真的，去年就這個(gè)問(wèn)題我們360安全團(tuán)隊(duì)跟業(yè)務(wù)團(tuán)隊(duì)就爭(zhēng)論過(guò)好多次。最后仍然保留了短信驗(yàn)證碼通道，這也是遵循“可用性”優(yōu)先的原則。

近期有些服務(wù)商推出了免驗(yàn)證碼驗(yàn)證手機(jī)號(hào)服務(wù)，可以驗(yàn)證有數(shù)據(jù)鏈接的手機(jī)號(hào)碼的真實(shí)性。這也是一種途徑，就是短信通道不安全，那我創(chuàng)建一個(gè)更安全的通道。Google的雙因子認(rèn)證服務(wù)，也是類似的思路。不過(guò)，短信通道仍然是最后的備用通道，各位可以試試注冊(cè)一個(gè)新的Google賬戶，它也要求你提供手機(jī)號(hào)碼，然后是短信驗(yàn)證碼。

總之，請(qǐng)大家相信，各大互聯(lián)網(wǎng)公司對(duì)這個(gè)問(wèn)題是早有準(zhǔn)備的，如果有漏網(wǎng)之魚，那是我們的風(fēng)險(xiǎn)控制系統(tǒng)做得還不夠好。

－－

雷鋒網(wǎng)注：本文轉(zhuǎn)載自微信公眾號(hào)“360UnicornTeam”，作者：黃琳，360 UnicornTeam 安全專家，雷鋒網(wǎng)已獲授權(quán)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。