睡一覺錢沒了

手機號注冊的隱憂

如今我們不管辦理什么業務，又或是在任何網站和APP注冊賬號，首先想到的就是通過手機號碼一鍵登錄。這意味著，你的手機號就等同于你的微信、支付寶、銀行和各種現金貸客戶端的賬號（圖2）。如果你安全意識不高，這些APP注冊時又都用了相同的密碼……潛在的安全風險可想而知，基本是一損皆損。

萬能的短信驗證碼

當你在登錄各種APP時發現忘記了密碼怎么辦？沒關系，少數APP可以通過短信驗證碼一鍵登錄，而所有的APP還能使用短信驗證碼來重置密碼（圖3）?？梢哉f，短信驗證碼在今天已然成為了一種“萬能”的存在，有了它，登錄、認證、重置和支付等流程就將一路綠燈。

本文引言中涉及的案例，就是針對手機號注冊和短信驗證碼“量身定制”的一種詐騙手段：黑客通過“GSM劫持+短信嗅探技術”，可實時獲取用戶手機短信內容，進而利用各大知名銀行、網站、移動支付APP存在的技術漏洞和缺陷，進行信息竊取、資金盜刷和網絡詐騙等犯罪行為（圖4）。

問題來了，這一整套流程要分很多步驟，難道手機安全方面的漏洞竟然如此嚴重嗎？

驗證碼和U盾的差異

實際上，自從智能手機和移動支付功能關聯捆綁后，從銀行到支付工具，相關企業都在研究如何提升安全性，避免可能的盜刷風險。而大家最終“商量”的結果，就是基于短信的二次驗證機制。

提起二次驗證，相信不少用戶都會想起“U盾”（圖5）。U盾是銀行針對網絡支付推出的一種USBkey，當我們需要辦理轉賬、匯款、繳費等支付業務時，必須按系統提示將U盾插入電腦的USB接口，輸入U盾密碼并進行驗證成功后才可完成支付過程。

問題又來了，既然短信和U盾起到的都是二次驗證，那它們的安全系數不是應該等同的嗎？很遺憾，U盾的安全系數遠非短信驗證碼可比。

簡單來說，當你在銀行開通網上銀行時，銀行會針對你的個人信息生成一組個人數字證書，而這個證書會保存在銀行服務器，以及讓你拿回家的個人U盾內（U盾內的數字證書處于不可讀狀態）。

當我們嘗試網上交易時，銀行會向你發送由時間、地址和交易內容等信息組成字符串加密后生成的秘鑰A。交易確認前需要將U盾和PC相連，秘鑰A會通過網絡和數據線傳輸到你的U盾中，而U盾則會根據你的個人數字證書對秘鑰A進行不可逆的運算并得到秘鑰B，再將秘鑰B返還給銀行。同時，銀行端也會根據秘鑰A和你的數字證書進行不可逆的運算，只有結果與秘鑰B一致才確認為合法交易（圖6），否則交易便會失敗。

換句話說，通過U盾進行的二次驗證，從驗證信息的獲取和確認信息的返回都是加密的，中間流程沒有給黑客留下用于攻擊的漏洞。

短信驗證碼可就沒有這么高的技術含量了。我們都知道，手機網絡是從1G（模擬通訊）→2G（GSM）→3G→4G發展而來，但受制于各種限制，無論是3G還是4G時代，手機語音和短信依舊保持著以純數字信號的2G方式進行傳輸，而GSM制式下的手機短信卻是單向鑒權并且是以明文方式傳輸的（圖7）。

看到沒有，這里面就存在兩個明顯的漏洞。其一是“單向鑒權”，其二是“明文方式傳輸”。第一個漏洞，意味著當手機在GSM制式下收到一條短信時，基站只會驗證手機是不是真的，而手機卻不會去驗證發來短信的基站是否為真，這個漏洞就造成了偽基站的泛濫。

第二個漏洞，意味著短信驗證碼的6個數字都是明文傳輸，黑客無論是通過中途截取，還是借助手機漏洞獲取了短信內容，都可明明白白看到這6個數字。