Atitit 短信验证的漏洞

目录

1.1. APP读取短信 1

1.2. 手机上访问的业务来说,短信验证码就没那么独立了 1

1.3. 短信保管箱” 1

1.4. 自动把短信备份到云端的功能。 2

1.5. 监听无线信号窃取短信 2

1.6. 在短信发送者附近窃取短信 2

2. 有办法防备短信验证码的漏洞吗? 3

2.1. 晚上关机 ,防止恶意app 3

2.2. 用户也不是毫无办法,可以尝试开通VoLTE功能, 3

2.3. 建议单独准备一台手机, 3

2.4. 短信业务默认都使用VoLTE。 3

  1. APP读取短信

在非智能手机时代,要入侵手机窃取短信是比较困难的——不是不可能,但比较困难。但随着智能手机的普及,入侵手机窃取短信已经变得比较容易。比如,很多APP都有读取短信的权限。只要这些APP中的任意一个存在漏洞,或者干脆本身就是恶意的,那你的短信也就危险了。

  1. 手机上访问的业务来说,短信验证码就没那么独立了

另外,对于用电脑访问的业务来说,短信验证码是相对独立的一个因子。但对在手机上访问的业务来说,短信验证码就没那么独立了。电脑沦陷后,短信可能还是安全的。但手机沦陷后,短信也很可能也会被攻击者拿到

  1. 短信保管箱”

而甚至不入侵手机也可以窃取到短信。前几年,有些运营商推出了“短信保管箱”业务,用户可以用电脑在运营商网站上在线读取短信——也就是说,如果你的电脑被入侵了,短信也就保不住了,不再是一个独立可信的因子。所以一些网络犯罪者就开始利用这一点

  1. 自动把短信备份到云端的功能。

但有些手机有自动把短信备份到云端的功能。如果开启了这个功能,那么攻击者只要掌握了你的云端账号,就可以访问到短信。这时候,短信也不再是一个独立可信的因子了。

  1. 监听无线信号窃取短信

即使你今天仍在使用诺基亚黑白屏手机,短信还是可能被窃取。因为短信所用的无线信道并不那么可靠。虽然目前国内3G/4G已经普及,但大部分地区只是上网走3G/4G,短信还是通过不安全的GSM网络在发送,而GSM是非常容易被监听的

在十几年前,如果要通过监听无线信号窃取短信,所用设备至少价值几十万元。但在今天,数千元就能买到同样功能的设备。如果要求不高并且愿意自己动手,花上不到一百元也能做出勉强可用的设备。我 2013年做过一个相关主题的演讲,其中谈到了这类设备成本下降对安全的威胁。下面这张图就是当时通过监听无线信号获取到的一条运营商流量提醒短信

  1. 在短信发送者附近窃取短信

有人说晚上睡觉前把手机关机就能防止通过无线监听窃取短信。这话只对了一半。你们想一下:给别人发短信的时候,如果对方手机关机了,短信是不是仍然可以发的出去?所以,睡觉前把手机关机也许可以防止攻击者到你的附近窃取短信,但无法阻止攻击者在短信发送者附近窃取短信。比如攻击者要窃取A公司给你发的验证码,只需要在A公司发短信的设备附近监听无线信号即可。而对攻击者来说,在A公司发短信的设备附近进行监听显然是更划算的做法。因为只要在这一个地方,就能实现窃取所有A公司发出的验证码。

  1. 有办法防备短信验证码的漏洞吗?

靠短信实现双因子验证,总还是比完全没有双因子要强的。但因为存在上面这些问题,所以在今天,短信验证码也许仍然可以作为一个验证因子,但各公司在设计业务安全体系的时候,对它的信任度需要调低一些。至少需要结合地理位置信息、设备信息、用户特征等等来综合判断。而不能像很多年前一样,仅凭一个短信验证码就确定用户身份

  1. 晚上关机 ,防止恶意app
  2. 用户也不是毫无办法,可以尝试开通VoLTE功能

让短信也通过3G/4G网络传输,增加通过无线监听窃取短信的难度。具体方法是:电信用户发送“KTVoLTE”到10001,移动用户发送“KTVoLTE”到10086,联通用户发送“VBNCDGFBDE”到10010。但目前不一定所有运营商在所有城市都支持了VoLTE。如果对安全比较重视,

  1. 建议单独准备一台手机,

这台手机禁用WiFi,禁用移动网络,仅用于打电话发短信。所有重要的验证码都只用这台手机来接收。至于“睡觉前关机”,也许有那么一点用

  1. 短信业务默认都使用VoLTE

至于运营商,为阻止通过无线监听窃取短信的攻击,应加快2G网络的淘汰,尽早让短信业务默认都使用VoLTE。手机厂商也应向用户提供关闭2G支持的选项。否则,即使运营商默认用了VoLTE,攻击者还是可能有办法让用户的通信降级到GSM。而各公司自建的用来发送短信的“猫池”,也应升级为使用VoLTE来发送。(编辑:Ent)

Atitit title 头衔  头街  称号 v22

作者简介

艾提拉  艾龙 attilax,法名 st attilax akbar rinpoche 圣阿提拉科斯阿克巴仁波切

头街软件技术大师 uke组织创始人

学术成就,完善的20大知识体系,拥有uke学院硕士博士学位

从事软件互联网行业技术背景十二年,csdn排名TOP57

长年从事软件互联网技术与管理,预计出版多本心得分享书籍

擅长技术与管理与文化 致力于标准化事业

Qq 1466519819  小号112237553

微信attilax  小号attilax201708

作者:: 绰号与头街 :老哇的爪子claw of Eagle 偶像破坏者Iconoclast image-smasher   神的使者(Messenger of God)及守望者(Watch Man

捕鸟王"Bird Catcher  kok  虔诚者Pious 宗教信仰捍卫者 Defender Of the Faith. 卡拉卡拉红斗篷 Caracalla red cloak KOA万兽之王  纵火者

头街来源:神的使者(Messenger of God)及守望者(Watch Man来源于圣经

老哇的爪子claw of Eagle来源于印加帝国

KOA万兽之王 来源于婆罗门大神森林中修炼

简称:: st Emir Attilax Akbar 圣 埃米尔 阿提拉克斯 阿克巴

全名::st Emir Attilax Akbar bin Mahmud bin  attila bin Solomon bin adam Al Rapanui 圣 埃米尔 阿提拉克斯 阿克巴 本 马哈茂德 本 阿提拉 本 所罗门 本亚当  阿尔 拉帕努伊

常用名:艾提拉(艾龙),  EMAIL:1466519819@qq.com

喜欢的绰号  捕鸟王纵火者 老瓦的爪子兔子的耳朵

喜欢的头街   st圣  仁波切 大师 马斯塔 艺术家 博士 诗人 国王

头衔:

uke

Emir Uke部落首席大酋长,ati协会创始人  仁波切马斯塔 埃米尔

uke总部o2o负责人,全球网格化项目创始人,

圣阿提拉克斯国王

科技领域

UTSC uke技术标准化委员会委员长 uke 首席cto   软件部门总监 技术部副总监  研发部门总监主管  产品部副经理 项目部副经理   uke科技研究院院长 uke软件培训大师

Ati组织科研研究院创始人

文艺领域

,  ,, uke机车协会主任 uke纹身协会

uke交友协会会长  uke捕猎协会会长

Ati文艺协会会长  ati文学协会

行政领域

Gchsp总裁  gchsp常委  GsP创始人

媒体传播领域

uke出版社编辑总编  宣传布道总策划

Ati传媒总部

渔猎军事领域

uke保安部首席大队长

Uke 户外运动协会理事长  度假村首席大村长

Ati打猎协会

法学

法学研究会 制度研究会

管理领域

工商管理学 公共管理与社会服务

,uke制度检查委员会副会长

教育领域

uec学院校长, uecip图像处理机器视觉专业系主任   uke文档检索专业系主任

Uke图像处理与机器视觉学院首席院长

uke终身教育学校副校长

靓号研究院

经济领域

uke波利尼西亚区大区连锁负责人 汤加王国区域负责人 uke克尔格伦群岛区连锁负责人,莱恩群岛区连锁负责人,uke布维岛和南乔治亚和南桑威奇群岛大区连锁负责人

Uke软件标准化协会理事长理事长 Uke 数据库与存储标准化协会副会长

直达巴士西北区负责人   直达巴士长沙与西安分部部长

润昌通讯软件事业部总裁 执行长 分部负责人  执行委员会主席

Ati经济研究所

历史领域

历史事业部  ati历史研究院

社会科学领域

社科学院  ati文化部

自然科学领域

Uke研究院院长兼首席研究员 科学家

Ati自然科学研究院

宗教神学领域

uke宗教与文化融合事务部部长  大师master

uke制度与重大会议委员会委员长    ati宗教事务所

医学领域

Uke医院 与医学院方面的创始人

转载请注明来源:attilax的专栏  http://blog.csdn.net/attilax

http://www.cnblogs.com/attilax/

Microblog

http://weibo.com/u/5941179815   (common attilax)

https://weibo.com/p/1005055941179815  (attilax201707,bek weibo)

http://weibo.com/u/5487832265 (tech,for blog auto gene)

知乎空间

https://www.zhihu.com/people/ati-att/activities

Qq 1466519819  小号112237553

微信attilax  小号attilax201708

微博 attilax2016   小号attilax201707

--Atiend  v23

修改历史记录

V23 增加了喜欢的头街

喜欢的绰号  捕鸟王纵火者 老瓦的爪子兔子的耳朵

喜欢的头街   st圣  仁波切 大师 马斯塔 艺术家 博士 诗人 国王

V22增加艾提拉  和头街马斯塔

V21 增加神的使者头街 守望者

在旧约中,“神人”(Man of God),神的使者(Messenger of God)及守望者(Watch Man),也是指先知。他们是负有上帝特殊使命的人,同时又是关心世人灵性问题的人

V20 增加了7行的作者简介

V18增加了GsP 头街  v19增加了圣字头街与  圣阿提拉克斯王国国王头街

V17 增加了ati组织的头街

V16 结构化表格化头街 ,并且 头街增加一些。充实了空虚。

V15 增加了知乎空间  微博大小号

V14  增加小号,以及通讯公司与直达巴士分部

V12 增加机构utsc

V10 增加了microblog

万兽之王本来这个是湿婆的。。

V7  增加了研究院title

V8 去了奶牛科技的东东

V9 融和俩个v8版本。。

增加了cnblogs的url

Atitit 短信验证的漏洞 目录 1.1. APP读取短信 1 1.2. 手机上访问的业务来说,短信验证码就没那么独立了 1 1.3. 短信保管箱” 1 1.4. 自动把短信备份到云端的功能。 2相关推荐

  1. 谷粒商城11——认证服务、短信验证、Gitee-OAuth 社交登录、分布式session

    文章目录 九.认证服务 1.短信验证码功能 2.短信验证模仿 3.验证码生成远程调用发送短信 4.验证码防刷检验 4.1 验证码的校验 4.2.4.3 验证码防刷 5.注册功能 5.1 封装表单vo ...

  2. ASP.NET MVC+Bootstrap 实现短信验证

    短信验证大家都已经很熟悉了,基本上每天都在接触手机短信的验证码,比如某宝,某东购物,网站注册,网上银行等等,都要验证我们的手机号码真实性.这样做有什么好处呢. 以前咱们在做网站的时候,为了提高用户注册 ...

  3. 注册app短信验证平台_APP短信对接选择怎样的平台

    很多APP为了安全都会使用到短信验证,比如说我们在某些APP上注册的时候,就需要输入手机号,然后输入收到的短信内容才能继续操作.这个过程其实就是APP短信对接后的效果.试想下如果我们很长时间收不到短信 ...

  4. 【公告】关于开启用户注册及登录手机短信验证的通知

    各位尊敬的CSDN用户: 您好! 国家互联网信息办公室2015年2月4日发布<互联网用户账号名称管理规定>,要求帐号实名制.今年网安开始执行检查. 为了贯彻落实国家互联网信息办公室对互联网 ...

  5. 七丶青龙nvjdc部署教程+短信验证登录对接傻妞

    青龙nvjdc部署教程+短信验证登录对接傻妞Nolanjdc 没有服务器的先自行购买,这里推荐腾讯云2H4G8M首年70–点击购买 青龙面板安装教程 傻妞机器人安装教程 XDD安装教程 QQ交流:10 ...

  6. java实现手机短信验证全过程

    点个赞,看一看,好习惯!本文 GitHub https://github.com/OUYANGSIHAI/JavaInterview 已收录,这是我花了 3 个月总结的一线大厂 Java 面试总结,本 ...

  7. android-短信验证功能,Android实现获取短信验证码的功能以及自定义GUI短信验证详解...

    <Android实现获取短信验证码的功能以及自定义GUI短信验证详解>由会员分享,可在线阅读,更多相关<Android实现获取短信验证码的功能以及自定义GUI短信验证详解(8页珍藏版 ...

  8. 利用第三方服务平台实现简单的短信验证功能

    在本篇文章中,将会利用第三方服务平台实现短信验证功能. 首先,先介绍一下刚才提及的第三方服务平台:mob.com 移动开发者服务平台 该平台呢,主要有以下几点功能: 1.为IOS.Android的AP ...

  9. Android之Mob第三方短信验证服务

    目录 mob简单介绍 前期准备 2.1注册登录 2.2创建应用 2.3下载sdk 2.4引入sdK 调用有界面接口 3.1效果图 3.2配置AndroidManifest.xml 3.3添加代码 调用 ...

  10. 【学生管理系统】用户登录三种验证方式—图片验证、短信验证、邮件验证

    目录 一.页面需求展示 二.验证方式-按钮组件 三.手机短信验证 四.邮件验证 五.图片验证邮件验证

最新文章

  1. 批处理处理远程计算机,使用批处理文件在远程计算机上调整PowerShell窗口的大小...
  2. Spring学习笔记(二)——Spring相关配置属性注入Junit整合
  3. 深度学习与计算机视觉系列(7)_神经网络数据预处理,正则化与损失函数
  4. 转 23种开发模式一点就通
  5. 大数据量下的sort
  6. mysql-in关键字,分组查询,分页查询
  7. 二元树中和为某一值的所有路径
  8. Mac下Nginx、PHP、MySQL 和 PHP-fpm安装配置
  9. java必读书籍_必读:Java Java
  10. 认真研究下HTML之id、name、form、submit
  11. 注解@Mapper、@MapperScan
  12. python 获取本地视频信息_python获取视频文件信息
  13. 从Kaminario谈谈“三大”存储热点技术
  14. matlab刻度字体,matlab 设置横纵坐标刻度的字体!!
  15. ctfshow 做题 MISC入门 模块 31-40
  16. 电脑用户没有admin权限,如何配置node开发环境
  17. 宏碁掠夺者Predator首款RGB内存条即将发售,特挑三星B-Die颗粒
  18. 七牛云测试域名过期失效后の自救指南
  19. Android ListView列表 刷新和加载更多
  20. 大型网站之存储瓶颈(数据库的垂直拆分)

热门文章

  1. appnode报错_appnode
  2. 如何用python写程序设置当前打印机为默认打印机,从Python打印到标准打印机?
  3. pandas不显示index_Pandas中文官档 ~ 基础用法1
  4. 非标准语法;请使用 _使用无线AP如何供电?
  5. 使用PInvoke.NET插件为托管代码添加Win32 API签名
  6. JS 简易控制台插件 [供 博客, 论坛 运行js用]
  7. cocos2d里面如何实现mvc系列
  8. 数据库连接客户端 dbeaver 程序包以及使用说明
  9. Visual Studio 2017 vcvarsall.bat 环境配置对应关系
  10. 关于shiro使用心得