站長之家(ChinaZ.com) 1月13日 消息:普林斯頓大學(Princeton)的一項研究(PDF)發現,美國 5 家預付費運營商使用的SIM卡交換認證技術容易遭攻擊者利用,可重置受害者的密碼以及獲取隱私權限。
據engadget介紹,研究人員在AT&T、T-Mobile、Tracfone、US Mobile和Verizon Wireless五家運營商各註冊了 10 個預付賬戶,總共註冊了 50 個。他們發現,他們只需要成功地回答一問題,就可以驗證他們的身份,並讓公司將他們的服務切換到他們已經擁有的SIM卡上。即使他們在其他身份驗證中出錯也沒不受影響。
攻擊者可以用這種簡單交換技術控制受害者的電話號碼,還可以用這個號碼重置受害者的密碼和獲得權限,比如訪問他們電子郵件和銀行賬戶。
為了測試運營商的安全措施,研究人員打電話給這些運營商,要求更換SIM卡,並故意提供了錯誤的密碼,迫使客戶服務代表嘗試另一種身份驗證方法。當被問及賬戶持有人的出生日期或賬單郵編時,研究人員會故意提供了錯誤的信息。
接著,客戶服務代表不得不轉向到第三種類型的身份驗證方法,即詢問調用者最近的兩次電話撥打情況。正是通過這種方法,研究人員成功地完成了SIM卡交換。這樣的策略引發研究人員的擔憂,因為攻擊者很容易欺騙受害者,讓他們撥打隨機電話號碼。
此外,研究人員還調查了 140 個使用手機身份驗證的熱門網站和服務,以瞭解攻擊者能對他們劫持的號碼做些什麼。他們只使用被劫持的SIM卡就可以輕鬆地重置其中 17 個服務的密碼,因為他們無需進行其他身份驗證。
對於該項研究,T-Mobile本月回覆表示,不再使用通話記錄作為身份驗證的一種形式。目前,其它四家電信運營商則尚未作出回應。
閱讀更多 站長之家 的文章
