作為一部文學作品,Nicole Perlroth 通過細膩的筆觸,將讀者帶入瞭一個架空的世界。但在關註網絡安全領域最新動向的人們看來,書中許多觀點並非毫無根據的杜撰。
現實生活中,惡意攻擊者經常會鬧出一連串的大新聞。甚至無需借助零日漏洞或其它先進的數字工具,便可引發大規模的網絡安全攻防戰。
在最極端的情況下,黑客甚至隻需拿到受害者的電話號碼,即可高效地完成電信詐騙之類的操作。Andy Meek 指出,移動運營商對於舊號碼資源的回收再利用,其實存在著相當巨大的安全與隱私隱患。
盡管舊號碼通常會間隔較長一段時間才重新放出,但還是有不少人忘瞭解綁相關賬號,結果給新用戶敞開瞭一個巨大的後門。
普林斯頓大學在一項新研究中指出,部分原因在於人們首選將手機號碼作為雙因素身份驗證的關聯措施。
研究人員對兩傢大型運營商的新訂戶可用的 259 個電話號碼進行瞭采樣,結果發現其中 171 個與熱門站點上現有的賬戶相關聯,意味著這些賬戶很可能遭到難以挽回的劫持。
此外通過搜索服務,人們可以輕松找到與號碼前主人有關的個人身份信息,更別提很大一部分號碼(100 / 259)有被卷入數據泄露事件。
針對移動運營商在號碼回收政策和在線選號系統中存在的隱性漏洞,此事讓我們對基於短信的多因素身份驗證方案也感到深深的不安。
(論文地址 | PDF)
研究人員指出,在號碼新主人不瞭解的情況下,某些被回收的號碼,仍在持續收到與安全和隱私相關的電話或短信,比如身份驗證與處方提醒。一些人可能難以抵禦誘惑,最終出手來“碰碰運氣”。
那麼問題來瞭,對於普通人來說,可以通過哪些措施來規避上述風險呢?研究人員建議,在放棄舊號碼之前,大傢務必註意及時斬斷其與相關服務的綁定關系。
如果嫌麻煩的話,那不妨考慮將多因素驗證用的號碼,“托管”在虛擬運營商(MVNO)和網絡語音電話(VoIP)服務提供商的網絡上。
留言列表
