手机支付短信不再安全,验证码何去何从?
移动支付网 | 伟辰 | 2018-10-30 09:00

随着移动支付的普及,“短信验证”是目前最便捷的验证方式,只要通过手机操作,就可以完成各种活动:开通业务、支付款项、修改密码、修改绑定邮箱、无密码登陆。“短信验证”在过去是安全的验证方式,只要保证验证码不被骗走就可以保证行为的安全,事情真的是这样吗?

手机病毒威胁依旧存在

根据腾讯《2018上半年手机安全报告》显示,Android新增病毒包468.70万个,Android病毒感染用户数近6106.84万。从病毒行为特征来看,木马病毒针对不同的场景有着牟利作恶手段,趋利性十分明确,且病毒类型多样,大多属于资费消耗、恶意扣费和隐私获取三种类型。

而这三种类型的病毒都拥有一种能力:拦截窃取用户的敏感信息,如验证码、短信内容等。对用户的财产安全造成了极大地威胁。

可以说,截取短信内容是手机病毒危害用户财产安全的必要手段,而验证码、交易信息等敏感内容通过短信才让病毒有了可乘之机。

虽然手机病毒的感染数量呈下降趋势,但是其中的威胁依旧不可忽视。

手机APP带来的威胁

根据360发布的《2018中国手机安全生态研究报告》,360互联网安全中心上半年截获安卓平台新增恶意程序样本283.1万个,恶意程序类型主要是资费消耗,占比高达85.7%;其次为隐私窃取,占比7.3%,恶意扣费占比2.2%。而在360在2016年的统计中,恶意程序中67.4%会盗取短信信息,银行信息成为恶意程序最“偏爱”的隐私内容。

不仅仅如此,大量的手机APP滥用权限涉及到用户个人隐私,其中读取短信占比达到48.3%,发送短信占比44.4%,其中的风险之大不言而喻。

GSM劫持+短信嗅探技术

2018年8月深圳警方破获了一起盗刷案。犯罪分子使用了GSM劫持+短信嗅探技术,当手机在2G信号下保持静止时,犯罪分子就可以使用该技术获得手机中收到的所有短信,再使用一些社工手段就可以获得手机号、银行卡号、身份证号等个人信息,接着就可以进行盗刷了。

从技术上讲,2G的GSM网络使用单向鉴权技术,短信内容以明文形式传输,该缺陷由GSM设计造成,而且由于GSM网络覆盖范围广,因此修复难度大、成本高。

综上所述

将验证码或交易信息通过短信发给用户的方式在过去被认为是一种安全的方式,但是随着技术的进步,其中的风险也暴露了出来,病毒、恶意软件、技术劫持都可以威胁到短信内容的安全,但是由于种种原因,短信的加密或者硬件的改进都是很难进行的事情,有没有什么办法可以取代“短信验证”呢?

移动支付网邀请了沃通电子认证服务有限公司创始人王高华,在第三届中国移动金融安全大会上以《加密邮件在移动金融安全上的应用》为题进行演讲,详细介绍通过加密邮件发送各种验证码,取代不安全的短信验证码,提升支付验证安全可靠性,解决电信金融诈骗问题。

王高华,沃通电子认证服务有限公司创始人、CEO兼CTO,国际标准组织“CA/浏览器论坛”委员。十多年来一直从事PKI电子签名和加密技术研究。在全球独家推出了自主知识产权的跨平台全自动证书加密的电子邮件客户端软件—密信(MeSince),开启信息全加密新时代。

2018第三届中国移动金融安全大会详情见:http://www.mpaypass.com.cn/MFSC2018/

相关阅读
PC版  |  关于我们  |  联系我们
Copyright © 2011-2019 移动支付网
粤ICP备11061396号-5