您的位置
主页 > 站长资讯 » 正文

小米短信云同步安全缺陷导致被盗10万 看短信同步背后的风险

来源:www.jz265.com 点击:1953

本文由身份认证服务提供商洋葱(yangcong.com)制作,作者对洋葱内容操作谢伟,转载请注明作者和来源。

活动回顾

8月21日,一位网友的父母银行卡被盗10万元。经过调查,发现原因可能是小米云提供的“短信同步”和移动终端的认证缺陷,导致银行的验证短信遭到黑客入侵。同步获取它。该案件目前正由警方调查,并附有受害人知情的原始链接:

根据当前受害者提供的线索,被盗10万元的银行卡确实很可能与小米提供的短信备份服务和可能的身份认证机制有关,但不难发现除此之外小米,三星,华为等知名手机品牌提供类似的自动短信备份服务。不仅如此,市场上的许多专业数据备份软件和云盘还包括此功能(通过初步测试,百度云,360云盘,华为云盘等)几个云盘提供类似的服务,所以不仅仅是小米发生了类似的事件,提供短信同步的其他服务提供商可能也有类似的情况。

当笔者测试几个大型网盘是否有短信备份功能时,他意外发现手机中百度云盘的短信自动备份功能已经打开,所以他在电脑上登录了百度云盘的网页版本,在[SMS]中,我在列中找到了所有短信,但我不知道。由于我的疏忽,我在安装软件时没有注意默认功能。

经过初步测试(测试机器为Android系统),作者发现登录三星账号时默认启用了三星云在移动云服务中的短信备份服务;在几个云盘中,360和百度云直接提供短信同步。功能方面,微云不直接提供短信备份(需要下载其他备份软件),百度云盘默认短信备份,360云盘默认关闭。

SMS备份功能通常具有在WiFi环境中自动备份的功能。作者以百度云为例进行了多次测试。结果表明,手机在WiFi环境中收到短信验证码后,数据可在15分钟内同步。

考虑它是可怕的,因为一旦你不小心打开短信备份或忘记关闭它,你可能会看到这样的事情:

安装软件时,您不小心将其打开(或者在激活激活后忘记将其关闭)。过了一会儿,不幸的是帐户被盗了。黑客立即发现您已启用SMS同步功能,因此他默默监控所有SMS消息。您的快递和外卖列表,您的在线账户登录操作记录,您的银行卡刷卡记录,您的出租车记录,您和您的朋友之间的沟通.总之,他通过短信掌握了您的一些生活轨迹它是当另一方收集到足够的详细信息时,习惯性地开始盗窃。

在半夜,你在WiFi环境中睡觉(一般家庭是WiFi环境),手机中的短信同步会自动开启,所以黑客使用你的云账号来使用你的短信验证码来转移在你睡着的时候你的银行。这张卡上有10万元,所以发生了类似文章开头的事件.

关键问题是,既然作者可以想到这种黑客攻击,那么对于职业黑客来说,他们很可能会过滤掉已经在大量云服务帐户中打开短信同步功能的用户被盗,然后使用获得的SMS内容实现了类似的盗窃手段。

我们都知道问题的实质当然是SMS身份验证的不安全性。 SMS最初设计用于通信而不是身份验证,但由于其便利性和低成本,它被用作身份验证方法。无论如何,在短时间内我们无法改变SMS身份验证的现状。 SMS备份功能本身的存在具有一定的实用价值,否则主要的云服务将不会热衷于提供此功能,甚至自动打开。那么在这种情况下,各种手机制造商,云盘制造商和用户自己应该做些什么来最小化短信同步的风险呢?

关于降低SMS同步风险的建议

对于云服务提供商,首先,默认启用自动SMS备份功能,操作员很容易不知道功能的打开。这类似于先前通过捆绑软件来检查选项的方法。出于安全原因,不建议这样做。其次,一旦用户打开SMS认证服务,云服务的帐户安全性非常重要,可以定期提醒用户打开两步认证或添加其他安全选项。

另外,它在WiFi环境中自动同步备份短信,可以延迟15~30分钟。一般来说,短信验证码会将有效时间设置为15~30分钟。只要云同步稍有延迟,黑客就无法在验证码的有效期内实时获取,从而在一定程度上降低了风险。

对于个人,您应该检查每个移动电话默认是否启用了SMS同步功能。如果已启用,则必须及时关闭它或向云服务帐户添加辅助身份验证,及时修改帐户密码,并增加密码的复杂性。毕竟,10万张被盗的银行卡事件,即使是小米短信同步造成的,也必须先将受害人的小米账号偷走,黑客才能看到同步的短信。

事情第一次发生,但很多人的目光仍然集中在“谁会反驳?”的问题上。和“SMS身份验证是否可靠。”显然,这一事件不会是偶然的,因为短信实时备份是很多人的共同功能,所以如何在现有条件下降低风险是我们应该关注的。

注意:截至作者提交时,百度云盘再次用于多次测试。发现SMS同步时间延迟到大约30分钟。开发人员可能出于安全原因进行了调整,但仍然知道使用其他SMS同步。