媒體 BGR 的 Andy Meek,剛剛發表了對《紐約時報》作家妮可·佩羅羅斯(Nicole Perlroth)新書 ——《他們告訴我世界將如此終結》(This Is How They Tell Me the World Ends)的讀後感。這本書籍探討了全球網絡戰爭的軍備競賽,並描繪了一個讓人毛骨悚然的未來 —— 即我們賴以生活的環境,變成了一個充斥駭客與間諜的世界。
作為一部文學作品,Nicole Perlroth 通過細膩的筆觸,將讀者帶入了一個架空的世界。但在關注網絡安全領域最新動向的人們看來,書中許多觀點並非毫無根據的杜撰。
現實生活中,惡意攻擊者經常會鬧出一連串的大新聞。甚至無需藉助零日漏洞或其它先進的數字工具,便可引發大規模的網絡安全攻防戰。
在最極端的情況下,黑客甚至只需拿到受害者的電話號碼,即可高效地完成電信詐騙之類的操作。Andy Meek 指出,移動運營商對於舊號碼資源的回收再利用,其實存在著相當巨大的安全與隱私隱患。
盡管舊號碼通常會間隔較長一段時間才重新放出,但還是有不少人忘了解綁相關帳號,結果給新用戶敞開了一個巨大的後門。
普林斯頓大學在一項新研究中指出,部分原因在於人們首選將手機號碼作為雙因素身份驗證的關聯措施。
研究人員對兩家大型運營商的新訂戶可用的 259 個電話號碼進行了采樣,結果發現其中 171 個與熱門站點上現有的帳戶相關聯,意味著這些帳戶很可能遭到難以挽回的劫持。
此外通過搜索服務,人們可以輕松找到與號碼前主人有關的個人身份信息,更別提很大一部分號碼(100 / 259)有被捲入數據泄露事件。
針對移動運營商在號碼回收政策和在線選號系統中存在的隱性漏洞,此事讓我們對基於簡訊的多因素身份驗證方案也感到深深的不安。
(論文地址 | PDF)
研究人員指出,在號碼新主人不了解的情況下,某些被回收的號碼,仍在持續收到與安全和隱私相關的電話或簡訊,比如身份驗證與處方提醒。一些人可能難以抵禦誘惑,最終出手來「碰碰運氣」。
那麼問題來了,對於普通人來說,可以通過哪些措施來規避上述風險呢?研究人員建議,在放棄舊號碼之前,大家務必注意及時斬斷其與相關服務的綁定關系。
如果嫌麻煩的話,那不妨考慮將多因素驗證用的號碼,「託管」在虛擬運營商(MVNO)和網絡語音電話(VoIP)服務提供商的網絡上。
來源:cnBeta
