GSM劫持,gsm嗅探 短信攔截

　　最近一段時間，關(guān)于GSM劫持短信驗證碼并竊取的新聞登上了各大新聞媒體的頭條，人們一片恐慌。

　　現(xiàn)在一個手機(jī)號，環(huán)游世界都不怕。但是，方便了，卻也降低了一些安全性。畢竟世界上有什么是完美的？近日，Douban.com上一位名為“寒江釣魚老人-雪”的用戶遭遇了一場短信劫持的噩夢：早上醒來發(fā)現(xiàn)收到了100多條來自支付寶、JD.COM等的短信驗證碼。又轉(zhuǎn)了一大筆錢，借了一萬多張JD.COM借條。你說喘不過氣來，睡不好覺，血汗錢莫名其妙沒了。

　　他的短信真的被劫持了嗎？我們?nèi)绾晤A(yù)防和避免這種攻擊？讓我們看看雪專家怎么說。

　　手機(jī)號注冊的隱憂

　　現(xiàn)在無論辦理什么業(yè)務(wù)，或者在任何網(wǎng)站、APP上注冊賬號，首先想到的都是通過手機(jī)號一鍵登錄。這意味著你的手機(jī)號相當(dāng)于你的微信、支付寶、銀行以及各種現(xiàn)金貸客戶端的賬戶。如果你沒有很高的安全感，這些app注冊的時候都用同一個密碼.潛在的安全風(fēng)險可想而知?；旧鲜裁炊紱]了。

　　萬能的短信驗證碼

　　當(dāng)你發(fā)現(xiàn)登錄各種app忘記密碼時，你該怎么辦？沒關(guān)系，少數(shù)app可以通過短信驗證碼一鍵登錄，而所有app也可以使用短信驗證碼重置密碼。

　　可以說，短信驗證碼在今天已經(jīng)成為一種“普遍”的存在。有了它，登錄、認(rèn)證、重置、支付等流程將一路綠色。

　　介紹中涉及的案例是一種“量身定制”手機(jī)號碼注冊和短信驗證碼的詐騙手段：黑客可以通過“GSM劫持短信嗅探技術(shù)”實時獲取用戶手機(jī)短信內(nèi)容，然后利用各大知名銀行、網(wǎng)站、移動支付app存在的技術(shù)漏洞和缺陷，實現(xiàn)信息竊取、資金竊取、網(wǎng)絡(luò)詐騙等犯罪。

　　問題來了。這整個過程必須分成許多步驟。手機(jī)安全的漏洞有這么嚴(yán)重嗎？

　　驗證碼和U盾的差異

　　事實上，由于智能手機(jī)和移動支付功能捆綁在一起，從銀行到支付工具，相關(guān)企業(yè)都在研究如何提高安全性，避免可能的被盜風(fēng)險。“討論”的最終結(jié)果是基于短信的二次驗證機(jī)制。

　　相信很多用戶提到二次驗證都會想到“u盾”。

　　u盾是銀行推出的用于網(wǎng)上支付的USBkey。當(dāng)我們需要辦理轉(zhuǎn)賬、匯款、支付等支付業(yè)務(wù)時，必須根據(jù)系統(tǒng)提示將u盾插入電腦的USB接口，輸入u盾的密碼并驗證成功，才能完成支付流程。

　　問題又來了。既然短信和u盾都是用來二次驗證的，那么它們的安全系數(shù)不應(yīng)該是相等的嗎？可惜u盾的安全系數(shù)遠(yuǎn)非短信驗證碼可比。

　　簡單來說，你在銀行開通網(wǎng)銀，銀行會為你的個人信息生成一套個人數(shù)字證書，這個證書會保存在銀行服務(wù)器里，還有你可以帶回家的個人u盾里(u盾里的數(shù)字證書是不可讀的)。

　　當(dāng)我們嘗試網(wǎng)上交易時，銀行會給你發(fā)送一個由時間、地址、交易內(nèi)容等信息組成的字符串加密后生成的密鑰A。在交易確認(rèn)之前，您需要將u盾與PC連接。秘鑰A會通過網(wǎng)絡(luò)和數(shù)據(jù)線傳輸?shù)侥愕膗盾，u盾會根據(jù)你的個人數(shù)字證書對秘鑰A進(jìn)行不可逆操作，得到秘鑰B，然后將秘鑰B返還給銀行。同時銀行會根據(jù)密鑰A和你的數(shù)字證書進(jìn)行不可逆操作。只有當(dāng)結(jié)果與密鑰B一致時，才會確認(rèn)為合法交易，否則交易失敗。

　　也就是說，通過u盾的二次驗證，無論是驗證信息的獲取還是確認(rèn)信息的返回都是加密的，中間過程沒有給黑客留下攻擊的漏洞。

　　驗證碼沒有這個技術(shù)含量高。眾所周知，手機(jī)網(wǎng)絡(luò)從1G(模擬通信)2G(GSM)3G4G發(fā)展至今，但受到各種限制。無論3G還是4G時代，手機(jī)語音和短信仍然是純數(shù)字信號的2G模式傳輸，而GSM模式的手機(jī)短信是單向認(rèn)證，明文傳輸。

　　看，這里面有兩個明顯的漏洞。一個是“單向認(rèn)證”，一個是“明文傳輸”。第一個漏洞是指手機(jī)在GSM系統(tǒng)中接收短信時，基站只會驗證手機(jī)是否是正品，而手機(jī)不會驗證發(fā)送短信的基站是否是正品。這個漏洞導(dǎo)致偽基站泛濫。

　　第二個漏洞是指短信驗證碼的六位數(shù)字都是明文傳輸。無論是中途攔截，還是通過手機(jī)的漏洞獲取短信的內(nèi)容，黑客都可以清楚的看到這六位數(shù)字。

　　手機(jī)里的錢是怎么丟的

　　手機(jī)的信號質(zhì)量與其與當(dāng)前基站的距離(運營商建立的移動通信交換中心與手機(jī)之間的信號鏈路)密切相關(guān)。黑客可以通過專業(yè)的主機(jī)和筆記本電腦(或手機(jī))組成一個“偽基站”，向周圍大功率釋放信號。

　　手機(jī)由于自動對比周圍基站信號，自動接入信號最強(qiáng)的基站的運行機(jī)制，經(jīng)常被“偽基站”誘導(dǎo)接入。

　　我們平時從10086、10010收到的“官方詐騙短信”都是出自“偽基站”之手。如果誤點了消息內(nèi)容中的外部鏈接，木馬就會直接植入你的手機(jī)。文中涉及的“GSM劫持短信嗅探”其實可以看作是基于偽基站的高級版本。

　　首先黑客會干擾附近的手機(jī)信號，讓4G信號變成2G信號，然后利用基于2G移動網(wǎng)絡(luò)的GSM明文傳輸?shù)膮f(xié)議漏洞，用專用手機(jī)組成短信嗅探設(shè)備。然后，黑客會通過偽基站收集附近的手機(jī)號碼，在支付app中使用這些號碼通過短信驗證碼嘗試登錄，并使用短信嗅探設(shè)備嗅探短信。

　　在這個過程中，黑客可以利用一個2G偽基站和一個2G偽終端，鎖定特定手機(jī)號碼與嗅探短信驗證碼的對應(yīng)關(guān)系，從而選擇進(jìn)一步的目標(biāo)。

　　接下來，黑客會根據(jù)目標(biāo)手機(jī)號，在一些渠道通過“撞庫”的方式，獲取這個手機(jī)號綁定的機(jī)主姓名、身份證號、銀行卡號等信息。至此，手機(jī)號、姓名、身份證號、銀行卡號、短信驗證碼這“五大騙局”，全部掌握在黑客手中。

　　由于短信嗅探技術(shù)只能同時獲取短信，無法攔截短信，黑客會選擇在主人睡覺的夜晚，用上述“五大騙局”登錄你的支付寶、銀行客戶端等app，或者假借各種現(xiàn)金貸申請進(jìn)行注冊，進(jìn)行提現(xiàn)。

　　由于大部分用戶睡前會調(diào)低手機(jī)音量，聽到信息提醒也不會及時查看，所以才會出現(xiàn)簡介中睡了一夜“錢沒了”的悲劇。手機(jī)滿屏都是驗證支付、轉(zhuǎn)賬、貸款成功的各種提醒短信。

　　風(fēng)險就在你我身邊

　　你覺得防范“GSM劫持短信嗅探”就夠了嗎？在智能手機(jī)時代，還有更多的漏洞需要我們關(guān)注。

　　比如現(xiàn)在幾乎所有的第三方app都在尋找“讀取聯(lián)系人和短信”的權(quán)限，哪怕只是一個小小的手電筒應(yīng)用。一旦這些app中的任何一個在服務(wù)器端出現(xiàn)安全漏洞，或者這個APP是帶有病毒木馬的惡意APP，它就天生具有竊取你短信驗證碼的功能。

　　此外，很多手機(jī)支持云服務(wù)，可以自動備份聯(lián)系人、通話記錄和短信內(nèi)容。黑客只要掌握了你的云賬號，也可以跳過手機(jī)，讀取你的短信內(nèi)容。所以，筆者的建議是，通過手機(jī)自帶的權(quán)限管理機(jī)制屏蔽任何APP讀取短信記錄的權(quán)限，選擇性關(guān)閉自動備份短信的云服務(wù)。

　　為啥隱患這么大？

　　無論從用戶的便利性，還是整個行業(yè)的刻意引導(dǎo)，現(xiàn)在各類app都需要使用手機(jī)號注冊登錄，無論是微信、支付寶、銀行客戶端、現(xiàn)金貸還是微博論壇。如果你的安全意識不高，這些app都用同一個密碼.

　　此外，短信驗證碼可以幫助用戶修改密碼、修改綁定郵箱等敏感操作。有些app甚至支持動態(tài)短信驗證碼直接登錄。

　　所以黑客只需要拿到你的手機(jī)號就可以劫持GSM短信，一個手機(jī)號就可以威脅到所有綁定了支付或貸款功能的支付寶、銀行卡和app。

　　黑客怎么玩？

　　GSM短信劫持是比偽基站更高端的技術(shù)。簡單來說，黑客會利用專業(yè)設(shè)備自動搜索附近的眾多手機(jī)號碼，攔截運營商和銀行發(fā)送的短信，劫持目標(biāo)主要為2G信號(GSM信號)。竊取短信后，會通過它們登錄一些網(wǎng)站，與機(jī)主的身份信息發(fā)生碰撞，這種碰撞被稱為“數(shù)據(jù)庫碰撞”(即多個數(shù)據(jù)庫之間的碰撞)，試圖匹配機(jī)主的身份信息，包括身份證、銀行卡號、手機(jī)號、驗證碼等信息。然后，

　　如何防范恐怖的GSM短信劫持？

　　幸運的是，黑客往往只是隨機(jī)作案。如果你已經(jīng)被黑客故意盯上，對方提前知道你的姓名、手機(jī)號、身份證號，通過SIM卡劫持(也叫SIM卡克隆)或GSM短信劫持的方式恢復(fù)密碼認(rèn)證，后果不堪設(shè)想。

　　最令人沮喪的是，黑客大多選擇在凌晨作案，在你睡得最沉的時候，他們會完成既定目標(biāo)。白天醒來，一切都晚了。

　　另外，短信驗證碼的安全缺陷是GSM設(shè)計造成的，GSM網(wǎng)絡(luò)覆蓋面廣，修復(fù)難度大，成本高，普通用戶基本無法防范。

　　普通用戶如何防范

　　“GSM劫持短信嗅探”的核心就是利用2G網(wǎng)絡(luò)固有的漏洞，所以最根本的解決辦法就是在全國范圍內(nèi)徹底消滅2G網(wǎng)絡(luò)，全面升級到3G/4G?，F(xiàn)實中，三大電信運營商都在逐步向4G轉(zhuǎn)移2G資源，但各自采取了不同的策略。比如中國聯(lián)通把3G拿回2G，中國移動把2G拿回3G，中國電信綜合考慮。

　　遺憾的是，在VoLTE大規(guī)模商用之前，三大運營商在某些領(lǐng)域仍然離不開2G網(wǎng)絡(luò)的輔助，即短時間內(nèi)無法從運營商方面完美解決漏洞。因此，無論你使用的是移動、聯(lián)通還是電信的SIM卡，無論是否啟用VoLTE，部分城市和地區(qū)都面臨著“GSM劫持短信嗅探”的攻擊風(fēng)險。

　　可能有朋友會問，如果我選擇將手機(jī)設(shè)置為飛行模式或者睡前關(guān)機(jī)，可以避免這種風(fēng)險嗎？答案理論上是可以的，但是如果你已經(jīng)被黑客盯上了，對方可以直接嗅探到發(fā)送APP驗證碼的公司服務(wù)器附近的短信。即使關(guān)機(jī)也不影響在APP界面輸入發(fā)送驗證碼的指令，只需要第二天開機(jī)就能收到。

　　雖然還是有風(fēng)險，但是睡前關(guān)機(jī)是普通用戶能做到的最安全的解決方案。另外，就是咨詢當(dāng)?shù)剡\營商。如果當(dāng)?shù)剡\營商支持，則必須打開并激活移動電話的VoLTE功能。

　　最后是開通支付寶開通高級驗證，開通常用設(shè)備保障，資金賬戶投保。如果真的在睡夢中收到扣費短信，一定要截圖取證，第一時間凍結(jié)賬號并報警，并主動聯(lián)系失物APP官方客服進(jìn)行投訴。必要的話可以發(fā)到微博上進(jìn)行輿論支持。

　　針對“GSM劫持短信嗅探”的案例，理論上其實有更多的解決方案。

　　比如新手機(jī)第一次安裝SIM卡時，增加了綁定當(dāng)前手機(jī)MAC地址的步驟。以后每次收發(fā)短信都需要先驗證MAC地址，然后再明文發(fā)送短信。

　　比如增加APP的兩步驗證。兩步驗證應(yīng)用程序基于TOTP機(jī)制，不需要任何網(wǎng)絡(luò)連接(包括Wi-Fi)、短信和SIM卡。驗證碼完全在手機(jī)本地生成，所以APP兩步驗證可以最大限度的免疫SIM卡劫持和GSM短信劫持。

　　還有一個最簡單的。以后會在獲取驗證碼的登錄界面增加隨機(jī)回答。除了驗證碼，還需要輸入正確的答案，這樣黑客即使拿到短信也不知道問題的答案。

　　當(dāng)然這些不是我們用戶能決定的。只是希望通過GSM短信劫持案的爆發(fā)，更多的相關(guān)企業(yè)和部門能夠攜起手來，堵住相關(guān)漏洞，比如徹底淘汰2G，或者增加手機(jī)廠商強(qiáng)制關(guān)閉2G功能的選項，讓我們以后在移動支付和理財方面更加放心。

　　一些大家關(guān)心的問題

　　問：聯(lián)通現(xiàn)在既是4G又是3G。有危險嗎？

　　答：攻擊不需要運營商有真正的2G網(wǎng)絡(luò)，而是利用基站的機(jī)制，強(qiáng)制你的網(wǎng)絡(luò)，不管是3G還是4G，降級到GSM。除非你的手機(jī)本身不允許切換到2G網(wǎng)絡(luò)，否則會面臨GSM短信劫持的隱患。

　　問：CDMA手機(jī)為什么會降到GSM？

　　答：CDMA在向后兼容上理論上是GSM，所以也有威脅，因為上面的原因。

　　問：手機(jī)自帶偽基站識別功能有用嗎？

　　答：本案原理是利用GSM通信協(xié)議的漏洞，識別屏蔽偽基站的功能不能指望。

　　問：手機(jī)上開啟了VoLTE功能，所有通話都是4G。你還害怕嗎？

　　答：目前GSM短信劫持的原理是強(qiáng)制你的手機(jī)重定向到GSM偽基站。所以，如果黑客選擇高成本暴力干擾3G/4G信號的方法，強(qiáng)制信號回落到2G，VoLTE功能也救不了你。