短信身份认证的风险分析

近年来，随着手机终端的普及、通信网络的升级、各类手机应用的爆发性增长，移动互联网产业迅速发展。据工信部统计，截至2014年1月，我国移动互联网用户总数达到了8.38亿。随着业务的不断发展，移动互联网安全的重要性也日益凸显。

　　用户身份认证是保障应用安全的第一道环节，是其他安全机制的基础和前提。相对于传统静态密码，一次性口令(0ne-time Password，OTP)只能使用一次并且有使用时间限制，所以能有效避免被黑客窃听后重用，安全性较高，目前已被广泛应用于金融、电信等领域。用于生成一次性口令的主流方法有硬件令牌和短信密码。硬件令牌需要发放额外的硬件设备，相对成本高、技术门槛高，所以越来越多的网站和手机应用将随机短信密码(通常为6位数字)作为用户登录或交易时的认证方式。短信密码的核心优势在于成本低、便捷性高、易于推广普及。然而，短信认证过程中涉及流程较多，每个步骤均存在被黑客攻破的风险，所以短信密码的广泛应用也带来了很多安全隐患。
　　
一、短信身份认证流程及密码泄露风险分析

　　短信动态密码的认证主要涉及用户手机、网站(或应用)、以及短信网关。在典型的认证场景中，用户在登录或支付页面输入手机号码，并请求动态密码。后台认证服务接收到请求后通过特定算法生成动态密码，然后通知短信网关，短信网关通过运营商将密码发送给用户。最后用户输入短信密码并上传到认证服务器认证(具体流程如图l所示)。短信密码面临的最大风险是被黑客获取，而整个流程中的每个环节均存在这种可能。根据各项技术与业务的发展情况，目前主要的泄露途径有以下几种。

　　1.云服务

　　许多公司向客户提供云服务，供客户上传数据至云端作为备份(一般在设备连接WiFi的情况下备份)，可通过web方式进行查询、管理，并可以便捷地共享给其他设备。例如苹果公司的iCloud、小米云服务、QQ同步助手等。此时，黑客只要能登录云端，即可获取用户短信等数据。目前来看，这种机制存在一定风险。首先，提供云服务的网站以及业务逻辑可能存在安全缺陷，如存在漏洞或者为用户设定了默认密码。其次，许多用户安全意识不高，使用了弱密码；或是与其他网站使用了相同的账号和密码，黑客利用撞库攻击获取登录名和密码；或是个人信息泄露过多，黑客可通过密码重置、安全问题等方式获取密码。进入系统后，黑客不仅能将用户的短信内容一览无遗，还可以使用手机号和短信密码登录网站、进行支付交易，甚至可以在云端删除手机端数据，使用户难以察觉。2014年9月，有黑客入侵了部分好莱坞女星的iCloud账户，并获取了照片等数据。苹果公司回应的原因是密码设置过于简单，黑客从其他地方获取了登录邮箱，并通过暴力破解的方式登入账户。此类云服务的安全性不高可见一斑。

　　2.短信仓库和短信转移

　　运营商提供了许多增值服务，如短信仓库业务和短信转移业务。短信仓库业务将客户短信保存在运营商的数据库中(如图2所示)。短信转移业务将发给某个手机号码的短信转移到另外一个手机号码上。此类业务的初衷是为了方便用户，然而实际应用中也为黑客提供了机会。大部分运营商提供网站办理业务途径，所以与云服务类似，同样也面临着网站安全性、业务逻辑安全性不足、用户信息泄露的问题。黑客利用漏洞登录系统或是将短信转移号码设置为自己手机号后，可实时通过短信内容掌握客户动态，使用客户账号登录网站或进行网银交易，危害性甚至超过云服务系统被入侵。例如，某运营商推出了短信仓库业务，而其网上营业厅网站认证机制相对较弱。有客户在多个网站使用了相同登录密码，黑客获取了客户信息后登录网上营业厅，通过短信仓库业务实时监控银行发送给客户的短信内容，通过短信密码盗取了客户银行卡上的资金。

　　3.恶意软件

　　友盟监测数据显示，2014年6月，不同版本安卓系统获取root权限用户比例为5%-35%。由于用户设备获取root，权限比例较高，安卓应用市场管理不严格，一些用户因误装了恶意转件而导致相关短信被拦截甚至转发。这些软件往往通过钓鱼网站转播，并且针对银行或是第三方支付网站发出的短信，拦截用户收到的支付、转账验证短信，从而盗取资金(如图3所示)。图3的左半部分所示的钓鱼网站中，登录后提示用户下载手机银行安全控件。右半部分为黑客手机短信界面。当客户安装所谓的“安全控件”后，黑客会收到提示短信，黑客回复“Start”则开启拦截该客户短信功能。当银行客服向客户手机发送短信时，会被转发至黑客手机，而不会在客户手机留下痕迹。右图中最后一条短信原本为95588发送给客户的短信，已被转发给黑客。不难想象黑客通过钓鱼网站获取了客户卡号和登录密码后，再加上实时被转发的短信密码，可以轻松地使用客户银行卡进行在线支付。

　　4．伪基站和改号软件

　　伪基站通过伪装成运营商的基站，任意冒用其他号码(如10086、95588等)，向用户群发短信。改号软件也可实现此类功能。单独使用这类方法并不能获取用户的短信内容，它们通常会与钓鱼网站、恶意软件等结合使用。2014年9月，乌云漏洞平台曝光了一起仿冒某运营商营业厅网站的钓鱼事件(如图4所示)。不法分子利用伪基站技术，伪装成运营商客服号码，以积分兑换活动为名群发钓鱼短信。在智能手机中，钓鱼短信会和电信客服发送的正常短信混杂在一起，难以分辨。用户点击短信中的链接，即进入钓鱼网站，同时欺骗用户下载安装恶意软件。钓鱼网站中要求用户输入姓名、身份证号、卡号、密码、CVV2码等信息。这些信息泄露后，加上恶意软件转发的短信密码，不法分子不仅可以使用受害者的银行卡进行无卡交易、快捷支付，同时由于银行发送的余额变动提醒等信息被拦截，使得用户不易发现银行卡已被盗用，给予黑客充足的作案时间。

二、使用终端设备认证，提高安全性

　　在不改变短信密码作为认证手段的前提下，若想改善上述问题，从国家层面，应加强对伪基站犯罪活动的打击；运营商应在推行新业务时，对安全性进行充分考量，对于敏感信息(如发现号码为6位的)不应进行存储和转发，云服务提供商也可采取类似策略；在用户层面，提高安全意识，防范钓鱼网站、不安装未经认证的软件。同时，由于目前伪基站仅针对GSM，升级手机卡和设备可以有效避免受到伪基站影响。

　　然而由于短信密码生成及发送过程涉及环节众多，上述解决方案都难以彻底杜绝风险。根本性的解决方案是利用与终端设备结合的认证手段，如手机令牌。手机令牌将动态口令生成算法应用在手机应用上，初次使用时需将账号和手机进行绑定。此后在动态口令生成过程中，仅依赖于当前设备上的软件，无需与外界通信。它不仅安全性高、避免了短信密码可能存在的一系列问题，同时由于无需硬件设备，又具备了成本低、便捷性高等优势。由于大部分网站均提供了手机应用，手机令牌功能仅需嵌入到原有应用中即可，推广普及也比较便捷。目前支付宝手机宝令、腾讯QQ手机令牌等都采用了该项技术。

　　此外，工商银行正在建设的网点无线上网项目中，使用设备MAC地址作为辅助认证手段。用户设备首次连接网点无线网络时需在认证页面输入手机号(作为用户身份标识)，服务器端将手机号与终端MAC地址绑定，之后服务器端将动态密码通过互联网推送至终端上的手机银行APP，用户输入动态密码认证通过后即可访问互联网。此后一段时间内用户再次登录时，服务器端根据设备MAC地址判断用户曾经认证过，可直接访问互联网。相对于短信而言，这种认证方式省略了运营商这一中间环节，减少了短信泄露的风险，提高了密码的安全性，同时节约了成本。

　　综上所述，结合终端设备的认证方式可以简化认证流程，在拥有较高安全性的同时兼顾了便捷性。基于以上优势，相信这类认证手段将会成为移动互联网领域主流的身份认证方式。
　　
（文章来源：《中国金融电脑》杂志）

扫码即可手机
阅读转发此文