短信验证码真的安全吗？你必须知道几种泄露途径并加以提防
短信验证码真的安全吗？你必须知道几种泄露途径并加以提防
这篇文章写了又删，主题太大，能写的太多，但看见这个案例及下边的回答我决定从整体角度好好写写。情况是这样的：昨天（3月10日）晚 11 点半左右，我的手机忽然收到一大堆包含手机验证码的短信，包括财付通、当当网、天翼视讯、无线城市等。当时以为中了谁的「呼死你」，觉得只要先关闭短信铃声，可以明天再想办法。谁知接下来的事就让人坐立不安了：手机上接连收到了招行快捷支付的消息，每笔间隔一两分钟，金额都是 195 元，我连忙在电脑上打开网银，发现自己的银行卡竟然真的出现了这些交易记录。于是我拨打了 95555 询问招行，招行的说法是这些交易都来自财付通的快捷支付，具体到底是微信还是 QQ 只能去问腾讯，他们只能冻结银行卡避免更大损失。于是我打电话给腾讯，结果夜间人工客服都歇了，直到今天早上才拨通。腾讯的说法是这笔消费通过京东购买了游戏点卡，给了我订单号，让我先联系京东，他们再跟进处理。当我联系京东之后，对方查到了消费记录，但说法是虚拟商品一经购买就无法退回，要求我先报警。而通过 110 转接到派出所之后，民警建议我先不要申请立案，否则商家和银行就不愿处理了，应该直接通过银行追回损失，必要时可以起诉。总结起来就是招行卡被人绑定了腾讯的快捷支付通过京东购买了商品，每一家都把责任推给下一家，最后民警又推回了银行。（from: 银行卡被人开通了快捷支付并被盗刷应当如何追回损失？）值得一说的是这个资金转移流程跟洗钱很相似：短信验证码是怎么泄漏的没法下结论，我整体的讲一下所有真实攻击中一些 Hack 短信验证码手段的技术细节。九个层面发送验证码的应用这个层面不是劫持，而是绕过短信验证码的检测机制达到攻击目的。应用验证出的漏洞比较多，包括微信、微博、QQ，但由于利用起来动作比较大漏洞容易掉，所以这个层面的漏洞真正用来利用的比较少。一般验证流程：生成验证码 -& 保存到 session -& 发送验证码 -& 用户提交 -& 把提交的与 session 中的比对每一步理解不透彻都会带来问题存在其它漏洞导致 session 中的数据可被读写厦门航空一系列安全漏洞打包广发证券的一些漏洞打包发送后将验证码返回给了客户端新浪某站任意用户密码修改（验证码与取回逻辑设计不当）第三方支付平台支付通爆严重漏洞,短信验证码直接隐藏在页面对用户提交没有限制导致可暴力猜测验证码微信任意用户密码修改漏洞聚美优品#2重置任意用户密码验证码没有跟账户绑定导致任意验证码都可通过验证OPPO修改任意帐号密码OPPO手机重置任意账户密码（3）推送验证码的云服务商云时代，你手机收到的 APP 的短信大多都是通过短信推送平台发出的，那也就不可避免的带来了「第三方安全风险」，黑客只要把平台拿下，流过的短信都能看到，算是一个比较薄弱的环节。酷讯网短信发送系统弱口令(一千多万已发送记录包含用户密码)建周短信平台某数据库未授权访问（大量用户电话/短信内容泄露）能看到短信能干嘛？扩大渗透战果UCloud设计不当导致防火墙被绕过+第三方问题移动运营商国内三大运营商对短信、通讯记录读取这些隐私接口管理得还是很混乱，所以黑客可能不经意黑下一套系统上面可能就有这些接口。或是一些混乱的「新业务」的漏洞导致短信可以被截取。这个层面的漏洞有「上行」和「下行」之分，有些漏洞能看到你发出的短信，有的能拦截你收到的短信。案例并不少，有些还是今年的：中国移动中国移动某平台存在弱口令（泄漏用户上行短信内容与用户姓名）某漏洞可导致任意登录中国移动他人139邮箱中国移动通行证平台重大漏洞 (可登陆任何手机邮箱，彩云等)中国联通中国联通某系统存高危漏洞可致相关信息记录\LBS\社会等信息泄露风险中国联通某业务getshell可泄漏大量用户服务密码，可查通话、短信、上网等记录从一个漏洞到再次沦陷中国联通企业信息服务平台(含32个省)中国电信中国电信某短信平台存在shell（N万短信随便你轰炸）某省电信短信发送web service无权限验证，可发任意电信用户任意短信内容中国电信天翼短信助理泄漏大量用户短信（如机票、火车票出票信息泄露）蜂窝网络主要是伪基站和 GSM 嗅探了，需要提的一点是，很多人觉得自己不是用的 GSM 网络就不会被攻击了，如果你的 3G 信号被屏蔽了呢？伪基站伪基站 + 钓鱼 = 完美黑产 - 乌云君探秘伪基站产业链京信通信HNB-10,A01L型Femto基站各种权限控制问题，可被用作伪基站群发垃圾短信等非法用途GSM 嗅探GSM Hackeing 之 SMS Sniffer 学习GSM HACK的另一种方法:RTL-SDR手机 AppApp 之间有时候也是需要相互通信的，需要通信就需要协议，这个协议在开发者使用的时候也经常会带来安全问题。拦截短信：LBE任意号码拦截漏洞（可使恶意软件绕过短信权限控制）安全管家客户端任意号码拦截漏洞（可使恶意软件绕过短信权限控制）手机木马这个点太大，主要集中在 Android，iOS 虽然也有一些可以利用的漏洞，但性价比太低，所以被用来赚钱的并不多，我说下我所了解的一些植入方式：连接了公共的 WIFI 被植入不用多说，危害有多大都被说烂，走路上突然连上 WIFI 也是常有的事。想自己试试可以用自己用手机开个热点，把信号名设置为「CMCC」，找个人多的地方安静的坐着就好了。噢，对了，不要设密码，然后，小心流量。（深入了解看这：无线应用安全剖析）你的Wi-Fi出轨了你造么？- 乌云君公共无线安全——FakeAP之WiFi钓鱼使用WiFi真的有那么危险吗？USB 插入了被感染过的机器新病毒可顺着USB数据线钻到Android手机里勿随便开启USB调试！新PC病毒可感染安卓WebView 远程命令执行搜狗输入法远程代码执行可以恶意利用劫持用户输入UC浏览器HD版本远程代码执行漏洞微信android客户端最新版远程代码执行(可远程种植后门控制用户)下载过被植入木马的 APKAPP 渠道被入侵用一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用用另一个低级的漏洞向豌豆荚用户手机后台静默推送并安装任意应用令人堪忧的app工厂安全（一个弱口令影响整体安全）APP 被入侵导致被强制推送木马中国电信某省智慧城市多个漏洞已shell（可全省推送信息）中国电信官网()钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集手机厂商自带后门酷派官方静默安装apk功能后台存在高危漏洞(演示定制机是如何在你的手机默默安装)通过二维码、短信、色情诱导等方式散播的恶意 APKXXshenqi.apk，很多时候我都觉得离漏洞越远的攻击方式越有生命力。Android敲诈病毒分析探秘短信马产业链手机云同步短信现在很多手机都是自带「云」的，同步短信是一个很常规的功能。小米云用户库泄漏各种照片流出也说明了云同步的问题。当然，通过这个方式劫持有个前提条件就是同步应用的频率比较高。攻击方式除了渗透还有「XSS 定向攻击」：OPPO手机同步密码随意修改，短信通讯录随意查看通过小米账户XSS窃取超私密资料，危害严重Gozap某处未授权访问（泄漏上亿条蜡笔同步用户短信、照片等记录）手机卡被非法补办这种手段要实践起来成本比较大，不一定能成功，大家看看下面这两个白帽子的真事案例，这种攻击方式是真实存在的。这个是线上的，4G 用户可以申请 4 张：移动手机卡补办就是这么简单（换卡服务存在缺陷会导致黑产利用）这个是线下的，之前发出来争议一直很大：移动「4G」卡所带来的威胁 - 乌云君手机丢失想像一下，如果你现在手机丢了，你会损失什么？这个主题有白帽讨论过，主要是对手机 App 的账户体系的质疑，不只是短信验证码，如支付宝的小额不需要验证就可以支付，大家可以看看：如果你手机丢了，你觉得会损失了什么？『可能你觉得手机本身的价值没什么，通讯录才是重要的。在偶年幼无知的时候 …… 觉得手机丢了，QQ也会丢了。但是，还是在偶年幼无知的时候，发现 …… 手机丢了，也许会欲哭无泪！想像一下，如果你现在手机丢了，你会损失什么？』 最后总结一下就是不要相信100%的短信验证码安全，需要我们平时注意去甄别与应对这些陷阱或是盗取。
发表评论：
TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&以前一般验证手机号都是用短信发送验证码，现在很多产品都更换成了电话发送验证码，为什么有这样的变化？
验证手机号常用的方法大概有这三种：语音验证、下行短信验证、上行短信验证。下行短信验证：用户通过短信收取验证码，将验证码输入后完成验证。上行短信验证：用户向106特服号发送短信完成验证。语音验证：用户通过接听电话获取验证码，将验证码输入后完成验证。三种验证方式各有利弊，提到好坏，就得掰开来说。首先，从用户操作便捷性上来讲。上行短信验证&下行短信验证&语音验证。上行短信简单在于，用户只要点击一个验证按钮，后续过程（发送短信、与服务器交互）由程序自动完成，免去输入手机号，输入验证码等繁琐步骤。而下行短信则次之，用户必须要先输入手机号码，然后才能获取相应的验证码并填入。做的比较好的可以及时截获用户收到的短信提取验证码，并自动输入完成验证，在用户感知上，只要输入手机号码，即可自动完成验证过程。语音验证的繁琐性就在于无法像上述两种方式一样帮用户做这些事情，必须是在用户亲自输入手机号，等待来电，自己记住验证码，自己填到输入框，手动完成验证。所以从便捷性上来讲，语音验证是最差劲的。那么为什么大家仍然在使用语音验证的方式。其实上行短信和下行短信也都有无法避免的问题。上行短信需要用户付费；下行短信经常收不到。上行短信需要用户发送短信，由此会产生一条短信费用。但用户并不是会注意你的每个提示，可能会反馈为什么花钱等等。一旦用户投诉给运营商，那么上行通道会被立即废掉停用。下行短信会经常因为种种原因，用户无法收到。例如用户被运营商加入了黑名单、短信被安全软件拦截、短信通道各种问题导致短信延迟验证码过期等等。所以一般来讲，仍然以下行短信为主，语音验证或上行短信作为对下行短信的补充。对了，我说的是Android，在iPhone上短信验证就没什么便捷可言了。
无论是短信验证还是电话验证，都是为了做身份认证的鉴权。本质上都是两步验证，可以参考我的这个问题下的回答&a href=&/question//answer/& class=&internal&&通过手机短信验证码验证身份，真的安全吗？ - 一一立立的回答&/a&&br&&br&两者的差异的存在主要是有两方面的因素。&br&一方面是体验上的因素。短信有个短信到达率的问题，很多短信会丢失，特别是这类校验、通知短信。任何一家短信服务商都无法做到100%的到达率，另外还有类似西藏之类的短信管制的因素等等，所以短信验证通常会使得大概5%到10%的用户无法通过验证。相比之下，虽然电话验证的体验和便捷度都无法和短信相比，但在无法接收的情况下，电话验证可以保证整个流程顺利进行下去。&br&&br&另一方面则是风控安全的因素。现在的短信验证主要存在如下的风险：&br&1、手机木马：智能机的流行使得原来相对安全的短信验证变得脆弱如纸。中了木马后，短信就会在不知情的情况下被转发走，导致各类验证失效，财产受损（&a href=&///?target=http%3A///industry/finance/detail_/.shtml& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&合肥：手机中木马 银行卡被消费33次无银行短信&i class=&icon-external&&&/i&&/a&）据不完全统计，手机木马类的案件在各大支付公司的占比已经超过了90%，所以没事别乱装乱点APP，特别是安卓机；&br&2、短信仓库/短信转移/信息泄露：前两者都是运营商的业务，可以在网站上看到短信内容，或者转发到指定的手机中。这类一般都集中在信息泄露的案件中，盗用者通过受害者的信息，利用运营上的服务来获取或者盗用短信。有的公司，自身信息安全做的不够，甚至存在明文存储短信验证码的问题（&a href=&///?target=http%3A//www.wooyun.org/bugs/wooyun-& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&某省电信详单查询短信码绕过漏洞（非爆破）&i class=&icon-external&&&/i&&/a&），等等此类，都特别容易造成短信验证码的泄露；&br&3、作弊风险：现在很多公司都会有大量的运营活动来支持自己的业务，比如促销满减，新客1元，免费体验，秒杀，限购等等，这中间就意味着需要很多账户。而账户一般都会要求做手机短信验证来核实是个真实的用户，于是就产生了专门做手机验证码服务的卡商和刷单的赚客（淘宝的刷信用也是其中一种），从而危害到了公司正常业务的发展（&a href=&///?target=http%3A//.cn/html//content_860375.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&城市晚报 - 多媒体数字报&i class=&icon-external&&&/i&&/a&）&br&&img src=&/dfdea7e929acf44c241cbf8d968ed2fd_b.jpg& data-rawwidth=&972& data-rawheight=&577& class=&origin_image zh-lightbox-thumb& width=&972& data-original=&/dfdea7e929acf44c241cbf8d968ed2fd_r.jpg&&&br&基于以上这些风险，电话验证在这个阶段都会有比较好的防控效果。&br&&br&但好也是相对的，手机木马同样可以做到电话的劫持和转移，语音验证码服务同样已经开始有产业链在做了，只不过相应的成本也在不断的提高而已。&br&&br&总结来说，主要原因是出于风控和安全考虑，顺带做了一些用户体验优化的工作。
无论是短信验证还是电话验证，都是为了做身份认证的鉴权。本质上都是两步验证，可以参考我的这个问题下的回答 两者的差异的存在主要是有两方面的因素。 一方面是体验上的因素。短信有个短信到达…
大家殊不知还有&b&信令交互认证&/b&方式吧——&b&CIA易验证&/b&，这是一款专利技术，是基于手机号的新一代身份验证方式，我也是最近在北京举办的一个APP大会上看到他们有参展，这个产品获得了大会颁发的&b&“最佳技术创新奖”&/b&，其验证原理比较简单，但有效的规避了短信验证和语音验证容易出现的问题，请看图。&br&&img src=&/eae052c49eec854d4d67ca96d409cad8_b.jpg& data-rawwidth=&1000& data-rawheight=&552& class=&origin_image zh-lightbox-thumb& width=&1000& data-original=&/eae052c49eec854d4d67ca96d409cad8_r.jpg&&这种验证方式采用的是&b&电信网信令通道&/b&，也就是说使用的是手机通话的信号，当用户发起验证请求到CIA&b&易验证&/b&平台，系统会分别通过互联网和信令网同时发送返回的验证码（所谓的验证码可以理解为识别码），同时返回到手机SDK由SDK来匹配验证码是否匹配，如果匹配则验证成功。通过信令网通过发送到手机的实际上是一个呼入的电话号码，电话号码后4位就是验证码，但如果使用的是Android操作系统本机号码验证的话，是没有呼入提示的，后台直接验证成功。很简单吧！&br&&b&一、从稳定性来讲&/b&&br&由于短信发送机制本身的问题，用户常常会有收不到的短信验证码，或者短信验证码延迟发送的情况，对于一款App来说，通过这种方式流失的用户大概占到了17%。举个栗子，微信电话本及聚美优品App都出现过用户收不到短信验证码或者验证码延迟的情况，尚且不说用户是否流失，出现这种问题用户体验也够糟糕的了。&br&&img src=&/743acada3ca31e1d981be50_b.jpg& data-rawwidth=&600& data-rawheight=&500& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/743acada3ca31e1d981be50_r.jpg&&&b&二、费用问题&/b&&br&APP开发者为了牢牢的抓住用户，抓住真是的用户，使用短息验证码租赁短信通道或者按条购买短信，少则几千多则一两万，这对于一个APP开发者来说还是不小的一个负担，通过我在展会上与CIA易验证负责人的交谈，他们承诺CIA身份验证对于App开发者是完全免费的，只需集成相应的SDK就可以。对于怎么盈利的问题，负责人回答，一方面是CIA易验证专业服务于开发者，将开发者们的开发成本降到最低，打破短信验证码的市场格局，短信验证码有先天的不足，而有些不足是需要开发者与用户共同买单的。另外一方面，为了给用户带来更好的用户体验，以后会发展增值业务和企业用户，但对于广大的APP开发者是永久免费的。&br&&b&三、用户体验&/b&&br&这个其实在上面或多或少的提到了，如果通过Android操作系统本机号码验证的话（绝大多数用户都是本机号码验证的），不需要用户输入验证码，进一步简化了验证码操作过程（人其实是很懒的）
大家殊不知还有信令交互认证方式吧——CIA易验证，这是一款专利技术，是基于手机号的新一代身份验证方式，我也是最近在北京举办的一个APP大会上看到他们有参展，这个产品获得了大会颁发的“最佳技术创新奖”，其验证原理比较简单，但有效的规避了短信验证和…
已有帐号？
无法登录？
社交帐号登录
文档攻城狮，业余做产品手机验证发到短信上时 倒计时是什么意思_百度知道我的支付宝验证码是发到我原来的手机号码上，我换号码了，怎样能换把号码过来_百度知道0位好友已经发送验证码等待中_电话或短信等方式通知好友把验证码发到你的微信_百度知道}