關於移動終端的簡訊安全分析
*本文原創作者:白帽子111,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
簡訊是公眾接收資訊的重要途徑,也是網站登入頁面識別使用者本人的一個有效手段。網站通過使用者手機號及對應手機號接收到的簡訊驗證碼,來識別一個有效使用者,使用者則通過官方簡訊驗證碼登入進網站。此外,簡訊還可以用來傳播連結用於便捷操作。正是由於簡訊的重要性與便捷性才越來越受到攻擊者的關注,簡訊攻擊案例很多,本文主要從簡訊嗅探、簡訊轟炸、釣魚簡訊、簡訊盜取四方面來總結基於移動終端簡訊的安全問題,針對每種攻擊方式的實際案例、攻擊分析、防範方法進行解析。
一、簡訊嗅探
1. 通過嗅探簡訊驗證碼,獲得重要賬戶登入許可權
CCTV2採訪了幾位經受簡訊嗅探的被攻擊者,被攻擊者一般都是夜裡收到一系列手機驗證碼,因為凌晨是1-4點的時間,被攻擊者一般沒在意,之後早上醒來發現銀行賬戶有消費,或者利用個人名義進行借貸行為。如下視訊截圖所示,圖1.3中的裝置就是利用改裝的手機制作成的嗅探裝置,攻擊者嗅探指定手機號的驗證碼,通過社會工程得到使用者的私人資訊包括銀行卡號、身份證號等,後利用驗證碼登入進指定手機號機主的銀行賬戶,後開通小眾快捷支付平臺,然後開始消費操作,轉賬過程中的驗證碼也通過嗅探得到。 
圖1.1:CCTV2經濟資訊聯播節目截圖1(展示被攻擊者手機截圖)
圖1.2:CCTV2經濟資訊聯播節目截圖2(採訪被攻擊者)
圖1.3:CCTV2經濟資訊聯播節目截圖2(展示簡訊嗅探裝置)
2. 攻擊分析
該攻擊通過靠近受害者,在基站通訊範圍內,利用GSM制式2G的漏洞,嗅探受害者手機號的GSM簡訊,得到簡訊驗證碼,而後社會工程得到的該手機號對應的個人資訊,包括銀行卡等資訊,試圖登入進含有資金或隱私等有利益的賬號,進行資金轉移或者隱私盜取等攻擊活動。
該手段利用的漏洞處於2G階段,但是現在4G普及,按理說不容易利用,所以高階一些的攻擊手法是干擾3G/4G,使得手機降級到2G,隨後發起攻擊。隨著運營商技術提升,攻擊者的手段也在升級,攻堅戰一直在持續。
3. 防範建議
保護私人資訊:身份證號、手機號、銀行卡號、各種平臺的賬號都是個人敏感資訊,注意一切需要獲取這些資訊的合法性,登入網站平臺的時候注意是否官網,儘量不要點選非官方的連結,而是手動輸入官網地址。
睡前關機:這樣簡訊驗證碼就無法被嗅探得到,但是這種方式不可取,因為關機也同樣阻斷了其他正常通訊,比如家人的緊急聯絡等。
換電信卡:在以往警方協辦的案例中,未發現電信使用者遭受該類攻擊的情況,電信2G採用的不是GSM制式,而是安全一些的CDMA制式,所以,換電信卡,在一定程度上,可以避免一部分的簡訊嗅探。
及時處理:發現手機出現大量非本人得到的驗證碼,尤其是銀行賬戶的登入驗證碼後,及時檢視賬號資金資訊或凍結賬戶,若符合簡訊嗅探的特徵,及時報警,因為攻擊者離得位置很近,早報警可以增加抓獲的可能性。
二、簡訊轟炸
1. 轟炸機氾濫,獲取便捷
簡訊轟炸因獲得方便,使得網上一直存在此類攻擊。某論壇的賬號為江陰某的使用者,在論壇發帖貼出被轟炸的證據,如圖2.1所示。CCTV針對此類案件也有相應的報道,名為“呼死你”的簡訊轟炸機,以一定的價格販賣轟炸行為,微博搜尋“簡訊轟炸機”竟然出現專門從事此類行徑的賬號,且配置類似“買家秀”的圖片。
圖2.1:簡訊轟炸截圖(來自某論壇發帖)
圖2.2:“呼死你”調查(來自CCTV13新聞報道)
圖2.3:賬號為“呼死你簡訊電話轟炸機器人”的公開微博資訊(來自微博截圖)
2. 攻擊分析
此類攻擊使得受害者在短時間內收到大量騷擾簡訊,手機因為一直在接收簡訊、電話,故而無法正常接收其他非攻擊者的簡訊、電話,影響手機的正常使用。一種是收了甲方的錢之後騷擾受害者,一種是攻擊者主動攻擊受害者,並索要一定金額以免除轟炸。
此類攻擊不易防範,因為手機設定黑名單比較有針對性,而簡訊轟炸機的來電手機號或者傳送簡訊的手機號一直在變化且多樣。一種簡訊轟炸機利用大量的手機號碼對受害者進行攻擊,一種則使用網際網路第三方介面傳送垃圾簡訊轟炸,不會洩露自己手機號碼。
3. 防範建議
網站方面:建議網站的登入頁面部門,在點選獲取驗證碼環節增加圖片驗證碼的步驟,可以過濾掉機器自動化點選網站驗證碼的部分。另外:在網頁登入頁面的獲取驗證碼部分,增加時間限制,1分鐘內或者5分鐘內就發一次驗證碼,可以防止網站被轟炸機利用,給使用者不好的使用者體驗。
受害者方面:在接收到簡訊轟炸的時候,尤其是被勒索繳納一定金額以免除攻擊的時候,一定留存證據,然後向相關部門反映,如12321網路不良與垃圾資訊舉報受理中心(網址: ofollow,noindex" target="_blank">https://www.12321.cn ,電話010-12321,微信微博賬號”12321舉報中心”),如若出現嚴重情況,如詐騙等,建議儘快報警處理。此外,手機也經過一定處理:設定黑名單、設定攔截陌生來電、安裝第三方攔截軟體、啟用語音信箱等。
圖2.4: https://www.12321.cn 官網首頁
三、釣魚簡訊
1. 簡訊中夾帶的虛假連結,誘騙點選
簡訊是主要的與外界溝通的視窗,尤其在用於確認、登入等方面,這就讓攻擊者鑽了空子。一種案例是,蘋果手機使用者在手機被偷盜後,一般會開啟丟失模式以鎖住手機,後在官網操作一番尋求定位丟失手機,犯罪分子不知道賬號密碼無法刷機。這時候,犯罪分子給丟失手機的使用者傳送如圖3.1所示的一條簡訊,簡訊中夾帶著一條虛假連結,蘋果使用者因焦急或不懂蘋果找回的確切流程,誤認為是官方簡訊,點選連結輸入進自己的賬號(AppleID)和密碼,讓犯罪分子得到賬號和密碼,進而解鎖機器,方便的進行刷機操作。
圖3.1:丟失裝置定位訊息(來自微博截圖)
另一種案例是,攻擊者利用偽基站,假冒官方號碼,如某某銀行,傳送一條帶有虛假連結的簡訊,如圖3.2所示的一條簡訊,簡訊中的網址仿照正確網址,在被攻擊者點選後輸入正確的資訊,攻擊者就可以獲得賬號、密碼等被攻擊者填寫的正確資訊,進而登入進被攻擊者的銀行賬號等進行資金消費等操作。
圖3.2:偽基站假冒官方簡訊(來自百度圖片)
2. 攻擊分析
此類攻擊利用了一部分社會工程的方法,誘導使用者相信簡訊內容,如果使用者識別出端倪,不點選簡訊中的連結,或者直接到官網去進行操作,那麼後續的欺詐過程就會中斷,使用者不會受到其他損失,無非收到個垃圾簡訊而已。
偽基站仿冒官方簡訊防不勝防,所以請大家務必提高警惕,所有操作都從官方平臺入口登入,就可以保護自己的財產。
3. 防範建議
識別傳送端(不保險):若傳送端是私人號碼,而傳送的訊息是官方的,可以判斷定有問題,以此提高安全意識,忽略簡訊中的提醒,拒絕點選簡訊連結。
官方平臺操作:光識別傳送端是不保險的,因為偽基站可以偽造官方號碼,所以如果簡訊說的是銀行卡等官方的內容,可以從官網網站登入銀行賬戶檢視餘額,拒絕點選簡訊連結。
四、簡訊盜取
1. 惡意軟體盜取簡訊
安卓手機因安卓系統的開放性一直是黑客的重點關注物件,很多惡意軟體自帶很高的許可權,可以直接讀取簡訊、通訊錄等個人資訊,而且不容易刪除掉,一旦下載就對攻擊者敞開了資訊流通的大門,freebuf針對SpyDealer進行過深度剖析( http://www.freebuf.com/news/140059.html ),該惡意軟體可竊取多種多樣的資訊,包括簡訊、微信等,且早在2015年10月和2016年2月,就已有受感染使用者對該惡意軟體發起了一些討論。下圖左右示例分別為英文和中文社群討論截圖:
圖4.1: 英文和中文社群討論截圖(來自freebuf截圖)
2. 攻擊分析
安卓系統開放性較好,也帶來了相應的弱點,各種提權的漏洞很容易被惡意軟體利用以提高軟體針對系統的權利,繼而偵聽各種資訊,影響使用者隱私安全。惡意軟體通過識別軟體許可權,若非root許可權,則下載相應檔案,進行提權操作,防不勝防。
3. 防範建議
使用者方面:謹慎下載應用,儘量從官方應用下載平臺下載應用,保證應用經過一定的稽核流程後才上架,可以減少一些外掛的困擾。
應用平臺方面:增加應用稽核,出臺相關政策,約束軟體上架。
五、總結
本文所述的關於移動終端的簡訊安全不一定完全全面,但是可以給廣大使用者一些啟發,簡訊作為重要的資訊驗證手段,需要得到足夠的安全重視。在使用者方面,需要重視個人資訊的保密,不在非官方網站輸入自己的賬號和密碼,尤其是提防長得像的連結;需要了解詐騙原理,理解套路,遇到資金安全要及時官方求助或凍結或追溯,及時保留證據進行舉報,嚴重則報警;如果是安卓使用者,下載需謹慎,儘量官方下載或者權威應用平臺下載;非電信卡使用者可以試著換到電信卡以避免一定程度的簡訊嗅探。
在非使用者方面,網頁平臺尤其是有資金操作的平臺,應在登入及轉賬等操作步驟增加多因子認證和重複操作的時間限制,尤其是涉及資金轉賬的步驟,儘量採用密碼與驗證碼結合的方式;應用平臺應增加稽核條件,增加APP許可權限制,識別外掛是否有害如挖礦,出臺一定的懲罰措施以提高安全基線,尤其是安卓應用類平臺。
針對安全的研究機構、企業應及時關注安全問題,提出安全建議,為社會維護安全穩定。
*本文原創作者:白帽子111,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載