一位網友的真實經歷引發了諸多人的擔憂,在他8月4號的一篇博文《記錄一下支付寶,銀行app被盜刷的情況》裡記錄了這樣一件讓人匪夷所思的事。
在2018年8月3日凌晨5:01-7:39分之間,該網友還在熟睡時,不法分子通過盜取它的支付寶和銀行賬戶進行消費和貸款,總計盜刷了18696.29元。期間,該網友的手機就放在枕頭邊,而銀行卡也在家裡,銀行密碼什麼的也沒被別人知道,這到底是怎麼一回事呢?
GSM劫持+短信嗅探
手機網絡的發展是從 1.0(模擬通信)-> 2.0(GSM)-> 3.0 (3G) -> 4.0(4G/4G+)。
在手機網絡2.0,也即是我們稱之為GSM制式的時代,手機語音和短信第一次以純數字信號的方式進行傳輸,由於年代久遠加上當時的技術限制,GSM制式下手機的短信是單向鑑權並且是以明文方式傳輸的。
就是說如果今天你的手機收到一條短信,並且是在GSM制式下收發的話,基站(移動運營商端)只會驗證手機是不是真(該網絡運營商旗下的)的,但手機不會去甄別這個基站是不是真的(是不是真的該網絡運營商的)。這個漏洞就造成了偽基站(一種犯罪分子打造的小型基站用以在小範圍內代替運營商真基站並實施犯罪的設備)的興起。
華為高管李小龍來支招
華為手機產品線副總裁李小龍也在微博上支招,建議關閉短信雲同步功能、華為手機開啟賬號保護。
短信驗證碼被竊取的方式主要有這麼幾個:惡意軟件或病毒,通過短信讀取權限直接獲取短信內容;破解手機雲服務賬號,在雲端讀取短信驗證碼;GSM網絡監聽。
安卓系統中,APP可以獲得短信讀取權限。很多時候,我們在某個APP中需要輸入驗證碼的界面時,系統會自動讀取和填充,這就表示它獲得了短信讀取權限。這種機制省去了手動輸入驗證碼的麻煩,但也造成了安全隱患。現在,MIUI等定製系統已經禁止第三方APP讀取短信驗證碼。
就目前來說,其實GSM劫持已經不是新鮮事了,這事情4-5年前隨著偽基站的誕生就已經存在了,問題是中國幅員遼闊,而GSM手機制式(設備)也沿用了十幾年,是中國也是現今世界上最大的一張手機網絡,這裡涉及的設備和系統千千萬萬。
再加上GSM(2G)模式下的短信明文傳輸和單向鑑權都是協議上的漏洞。只要手機運行在GSM 2G網絡下就一定能被利用,說白了就是米已成炊,於事無補。
在運營商那邊來說只能勸用戶儘快升級到4G網絡上去(2G全面退網),也就是說靠移動運營商層面來解決這個GSM劫持+短信嗅探問題不現實。
播姐有話說
如何防範GSM劫持?
1.支付寶開啟高級驗證
2.對資金賬戶投保
3.睡覺時手機關機或開飛行模式,關閉移動信號打開wifi
4.如果早上醒來看見半夜收到奇怪的驗證碼短信,立即查看自己的資金是否安全
5.若發現錢被盜刷,及時凍結並報警
閱讀更多 電商熱播 的文章
