当你高兴地和朋友打视频 *** 时,手机突然滴了起来,发了一条新短信。
定睛一看,其实是黑客发的!还有他登录你各种账号的截图。在你做出反应之前,我发现他假装给你的朋友发短信。突然出了冷汗吗?
这么“惊悚”这件事发生在一位外国记者身上。最近,他发表了一篇新文章,说黑客只需要16美元(约100元)就可以得到他所有的短信,并详细解释了他委托的白帽黑客是如何重新定他所有的短信,然后通过验证码登录他的各种账户。
拦截所有短信只需16美元的更低套餐
当记者收到短信时,使用Google环聊,手机还在连接T-Mobile *** ,一切正常。这也说明黑客并没有将受害者的手机号码移植到自己身上。SIM入侵卡。
记者邀请了白帽黑客Lucky225帮他做实验,最后发现黑客是通过一个名字来做的Sakari商业短信服务提供商完成攻击。
Sakari这是一种商业短信服务,在业内非常常见。我相信几乎大多数人都收到了来自各种渠道的销售短信,这些营销手段是由企业通过这些第三方服务进行的。
Sakari允许企业添加他们想要发送和接收短信的手机号码,以便发送短信提醒、确认和营销活动。当服务提供商发送这些短信时,黑客利用漏洞将用户的短信发送给自己。
Lucky225他说,只要你创建一个账户,选择更便宜的16美元套餐,你就可以完成短信拦截攻击。在他用预付卡购买套餐后,他只需要填写虚假信息LOA信息可以更改接收的手机号码。
LOA是指授权书,表明签字的人有权切换 *** 号码,同时也提示用户不能对短信服务和 *** 号码进行任何非法、骚扰或不当的行为。
在罪犯眼中,禁止非法行为的提示是徒劳的。他们可以使用此功能拦截短信,甚至回复。此外,攻击者可以通过短信重置密码或接收验证码,以访问受害者的任何账户。
这种攻击不像传统攻击那样依赖SS7路由协议漏洞,因为这种攻击会导致用户手机断网,立即发现问题。 *** S重定向攻击只能由此类第三方服务提供商攻击。对于用户来说,整个过程不会受到短信的影响,因此很难及时发现,这也给了攻击者足够的攻击时间。
那么Sakari如何具备转移手机号码的能力?
专家表示,这是因为没有标准化的全球协议将短信转发给第三方,所以这些能力将依赖于通信运营商或短信中心。
消息爆出后,迅速登上国外科技网站 Techmeme 头版头条,同时有网友评论这个漏洞是原创的G *** *** 安全中的一个众所周知的漏洞现在才曝光。
CITA:运营商正在采取“预防措施”
CITA(顶级移动运营商贸易协会)表示:
但这份声明并没有说明运营商采取了什么措施来预防,不可避免地缺乏说服力。
不过,Sakari确实采取了行动。
创始人表示,自攻击以来,Sakari更新托管信息传输过程,以便在未来捕获漏洞。此外,他们还增加了一个安全功能:手机号码的所有者将收到一个自动 *** ,要求用户向他们发送安全代码,以确认他们确实同意转移号码。
随着各种社交平台的普及,短信功能在我们的日常生活中逐渐被边缘化。许多国内用户不再关注短信的安全性。许多人认为,即使短信被拦截,也没关系,因为他们不使用它来工作或交流。其他人会开玩笑,“只有10086会给我发短信。”
然而,短信功能从未真正消失,但其功能已从日常沟通转移到身份认证。APP、网站账号登录需要通过短信发送验证码。即使用户使用账号密码登录,也可以使用短信功能修改密码登录。
因此,短信安全必须得到更多的关注。目前,中国也有许多短信第三方服务提供商。虽然没有相关事件,但也应加强对其安全的监督,以确保用户的隐私和安全,维护用户的个人和财产安全。