原标题:随着多因素身份验证的推广 手机号码的回收再利用风险也在扩大 来源:cnBeta.COM
外媒 BGR 的 Andy Meek,刚刚发表了对《纽约时报》作家妮可·佩罗罗斯(Nicole Perlroth)新书 ——《他们告诉我世界将如此终结》(This Is How They Tell Me the World Ends)的读后感。这本书籍探讨了全球网络战争的军备竞赛,并描绘了一个让人毛骨悚然的未来 —— 即我们赖以生活的环境,变成了一个充斥骇客与间谍的世界。
作为一部文学作品,Nicole Perlroth 通过细腻的笔触,将读者带入了一个架空的世界。但在关注网络安全领域最新动向的人们看来,书中许多观点并非毫无根据的杜撰。
现实生活中,恶意攻击者经常会闹出一连串的大新闻。甚至无需借助零日漏洞或其它先进的数字工具,便可引发大规模的网络安全攻防战。
在最极端的情况下,黑客甚至只需拿到受害者的电话号码,即可高效地完成电信诈骗之类的操作。Andy Meek 指出,移动运营商对于旧号码资源的回收再利用,其实存在着相当巨大的安全与隐私隐患。
尽管旧号码通常会间隔较长一段时间才重新放出,但还是有不少人忘了解绑相关账号,结果给新用户敞开了一个巨大的后门。
普林斯顿大学在一项新研究中指出,部分原因在于人们首选将手机号码作为双因素身份验证的关联措施。
研究人员对两家大型运营商的新订户可用的 259 个电话号码进行了采样,结果发现其中 171 个与热门站点上现有的账户相关联,意味着这些账户很可能遭到难以挽回的劫持。
此外通过搜索服务,人们可以轻松找到与号码前主人有关的个人身份信息,更别提很大一部分号码(100 / 259)有被卷入数据泄露事件。
针对移动运营商在号码回收政策和在线选号系统中存在的隐性漏洞,此事让我们对基于短信的多因素身份验证方案也感到深深的不安。
研究人员指出,在号码新主人不了解的情况下,某些被回收的号码,仍在持续收到与安全和隐私相关的电话或短信,比如身份验证与处方提醒。一些人可能难以抵御诱惑,最终出手来“碰碰运气”。
那么问题来了,对于普通人来说,可以通过哪些措施来规避上述风险呢?研究人员建议,在放弃旧号码之前,大家务必注意及时斩断其与相关服务的绑定关系。
如果嫌麻烦的话,那不妨考虑将多因素验证用的号码,“托管”在虚拟运营商(MVNO)和网络语音电话(VoIP)服务提供商的网络上。