手机号注册的隐忧

如今我们不管办理什么业务，又或是在任何网站和APP注册账号，首先想到的就是通过手机号码一键登录。这意味着，你的手机号就等同于你的微信、支付宝、银行和各种现金贷客户端的账号（图2）。如果你安全意识不高，这些APP注册时又都用了相同的密码……潛在的安全风险可想而知，基本是一损皆损。

万能的短信验证码

当你在登录各种APP时发现忘记了密码怎么办？没关系，少数APP可以通过短信验证码一键登录，而所有的APP还能使用短信验证码来重置密码（图3）。可以说，短信验证码在今天已然成为了一种“万能”的存在，有了它，登录、认证、重置和支付等流程就将一路绿灯。

本文引言中涉及的案例，就是针对手机号注册和短信验证码“量身定制”的一种诈骗手段：黑客通过“GSM劫持+短信嗅探技术”，可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，进行信息窃取、资金盗刷和网络诈骗等犯罪行为（图4）。

问题来了，这一整套流程要分很多步骤，难道手机安全方面的漏洞竟然如此严重吗？

验证码和U盾的差异

实际上，自从智能手机和移动支付功能关联捆绑后，从银行到支付工具，相关企业都在研究如何提升安全性，避免可能的盗刷风险。而大家最终“商量”的结果，就是基于短信的二次验证机制。

提起二次验证，相信不少用户都会想起“U盾”（图5）。U盾是银行针对网络支付推出的一种USBkey，当我们需要办理转账、汇款、缴费等支付业务时，必须按系统提示将U盾插入电脑的USB接口，输入U盾密码并进行验证成功后才可完成支付过程。

问题又来了，既然短信和U盾起到的都是二次验证，那它们的安全系数不是应该等同的吗？很遗憾，U盾的安全系数远非短信验证码可比。

简单来说，当你在银行开通网上银行时，银行会针对你的个人信息生成一组个人数字证书，而这个证书会保存在银行服务器，以及让你拿回家的个人U盾内（U盾内的数字证书处于不可读状态）。

当我们尝试网上交易时，银行会向你发送由时间、地址和交易内容等信息组成字符串加密后生成的秘钥A。交易确认前需要将U盾和PC相连，秘钥A会通过网络和数据线传输到你的U盾中，而U盾则会根据你的个人数字证书对秘钥A进行不可逆的运算并得到秘钥B，再将秘钥B返还给银行。同时，银行端也会根据秘钥A和你的数字证书进行不可逆的运算，只有结果与秘钥B一致才确认为合法交易（图6），否则交易便会失败。

换句话说，通过U盾进行的二次验证，从验证信息的获取和确认信息的返回都是加密的，中间流程没有给黑客留下用于攻击的漏洞。

短信验证码可就没有这么高的技术含量了。我们都知道，手机网络是从1G（模拟通讯）→2G（GSM）→3G→4G发展而来，但受制于各种限制，无论是3G还是4G时代，手机语音和短信依旧保持着以纯数字信号的2G方式进行传输，而GSM制式下的手机短信却是单向鉴权并且是以明文方式传输的（图7）。

看到没有，这里面就存在两个明显的漏洞。其一是“单向鉴权”，其二是“明文方式传输”。第一个漏洞，意味着当手机在GSM制式下收到一条短信时，基站只会验证手机是不是真的，而手机却不会去验证发来短信的基站是否为真，这个漏洞就造成了伪基站的泛滥。

第二个漏洞，意味着短信验证码的6个数字都是明文传输，黑客无论是通过中途截取，还是借助手机漏洞获取了短信内容，都可明明白白看到这6个数字。