【安全圈】3300 萬(wàn)條短信洞察：免密登錄成黑客后門，數(shù)百萬(wàn)用戶隱私裸奔

關(guān)鍵詞

信息泄露

科技媒體 Ars Technica 今天（1 月 22 日）報(bào)道，聯(lián)合研究團(tuán)隊(duì)近日發(fā)布論文指出，數(shù)百萬(wàn)用戶正因短信（SMS）中的免密登錄鏈接面臨嚴(yán)重的隱私泄露風(fēng)險(xiǎn)。

該研究由新墨西哥大學(xué)、亞利桑那大學(xué)、路易斯安那大學(xué)及 Circle 公司聯(lián)合發(fā)布，指出廣泛應(yīng)用于保險(xiǎn)報(bào)價(jià)、求職招聘及家政服務(wù)等領(lǐng)域的 " 短信免密登錄 " 功能，正將數(shù)百萬(wàn)用戶的隱私置于危險(xiǎn)境地。

注：為了省去用戶記憶密碼的麻煩，許多服務(wù)商僅要求用戶輸入手機(jī)號(hào)，隨后通過短信發(fā)送包含認(rèn)證鏈接的消息。

然而，研究人員指出，這種看似便捷的機(jī)制背后存在重大設(shè)計(jì)缺陷，讓詐騙者能夠輕易實(shí)施身份盜竊，甚至在未獲授權(quán)的情況下查看或修改用戶的部分保險(xiǎn)申請(qǐng)單等敏感業(yè)務(wù)數(shù)據(jù)。

該安全漏洞的根源在于驗(yàn)證鏈接的生成機(jī)制過于簡(jiǎn)單，缺乏足夠的隨機(jī)性（即 " 低熵 "）。研究發(fā)現(xiàn)，許多服務(wù)商生成的安全 tokens 呈現(xiàn)出明顯的序列規(guī)律。

攻擊者無(wú)需具備高深的網(wǎng)絡(luò)安全知識(shí)，只需使用消費(fèi)級(jí)硬件，對(duì)截獲或推測(cè)的 URL 鏈接末尾進(jìn)行簡(jiǎn)單修改（例如將字符 "ABC" 遞增為 "ABD"），即可通過 " 枚舉攻擊 " 訪問其他用戶的賬戶。

部分劣質(zhì)服務(wù)甚至允許攻擊者在點(diǎn)擊鏈接后，無(wú)需任何額外驗(yàn)證即可長(zhǎng)驅(qū)直入，且這些鏈接的有效期往往長(zhǎng)達(dá)數(shù)年，進(jìn)一步放大了安全隱患。

為了評(píng)估事態(tài)嚴(yán)重性，研究團(tuán)隊(duì)分析了公共短信網(wǎng)關(guān)中超過 3300 萬(wàn)條短信，提取了約 3.23 億個(gè)唯一 URL。結(jié)果令人觸目驚心：在涉及的 177 項(xiàng)服務(wù)中，有 125 項(xiàng)允許攻擊者大規(guī)模枚舉有效 URL。

這意味著，任何持有鏈接的人都可能獲取陌生人的社會(huì)安全號(hào)碼（SSN）、出生日期、銀行賬號(hào)及信用評(píng)分。論文第一作者 Muhammad Danish 指出，雖然普通用戶應(yīng)避免向不可信來(lái)源提供信息，但此次受影響的名單中不乏擁有數(shù)百萬(wàn)活躍用戶的知名服務(wù)商，這使得用戶防不勝防。

盡管漏洞已公開，但服務(wù)商的響應(yīng)速度令人擔(dān)憂。在研究人員嘗試聯(lián)系的 150 家受影響服務(wù)商中，僅有 18 家給予回復(fù)，最終只有 7 家修復(fù)了缺陷。

針對(duì)此類風(fēng)險(xiǎn)，DuckDuckGo 和 404 Media 等隱私導(dǎo)向型網(wǎng)站已轉(zhuǎn)向使用基于電子郵件的 " 魔術(shù)鏈接（Magic Link）"。這種方式通過發(fā)送有時(shí)效限制（如 24 小時(shí)內(nèi)有效）的一次性登錄鏈接，結(jié)合郵箱本身的雙重驗(yàn)證（2FA），在一定程度上提升了安全性。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！