封堵簡訊嗅探漏洞 不應只從技術角度考慮

近日，一則報道似乎引起了小部分人的注意。講的是豆瓣網友「獨釣寒江雪」在自己毫不知情的情況下，支付寶、京東及關聯銀行卡被盜刷的事情。

圖片來源：獨釣寒江雪豆瓣

事實上，不用分析都知道，這種盜刷的思路很簡單：無非就是嗅探到手機號之後，利用撞庫和一些社工手段獲取相關密碼，再利用早已存在不知道多少年的GSM漏洞進行簡訊驗證碼的劫持。也就是所謂的「簡訊嗅探+中間人攻擊」。

有些媒體自媒體據此得出結論，為了避免盜刷，應該「關閉一些網站、APP的免密支付功能，主動降低每日最高消費額度」——這和要想避免被強姦就應該多穿一點在邏輯上似乎沒啥區別吧？

歸根到底，類似事件的根源，還是在我過去多次強調的：簡訊/手機號作為驗證工具的不靠譜上。

早在兩年前的這篇文章中，我就已經提到過這個GSM漏洞。只不過，沒有人親自體驗，不會知道箇中滋味。

事實上，作為一種驗證工具，無論是便捷度還是安全性，手機號遠沒有電子郵箱靠譜。

且不說手機是一種隨時可能被偷、死機、沒電、停機、沒信號的設備；要知道，手機號碼資源是屬於國家，存在二次三次多次利用的可能。即便是日後運營商推出了取消號碼綁定網站/app註冊信息的功能並且真的能夠全網接入，你又能保證新買的手機號之前沒有被人在其他網站上被標記騙子死全家么？

還有人說，你看這個例子中支付寶等服務還是比較放心的，後颱風控監測到有風險之後，通過人臉校驗可以有效阻止盜刷。

太天真。

技術的進步永遠會超出大眾的想像。

今年五月，就有一組研究人員首次完成了把替身的3D頭部和面部動作整體搬運到目標主角臉上。

GIF

該團隊只要掌握幾分鐘的主角視頻作為訓練素材，就可以獲得高質量的替身表演——無論是頭髮、脖子還是肩膀甚至是表情，都可以單獨調整。

至於視頻來源的獲得，現在各種直播網站還不夠多嗎？

所以，歸根到底，簡訊/手機號不適合用來作為一個主要的驗證手段。

至於有些媒體提到的用二次驗證app，聽起來是比簡訊好一些，但如果手機丟了，要在新設備上重新安裝該app，如果還是通過簡訊驗證的方式，意義何在？

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！