作者:老李
近期看到安全应急响应中心发的《网警课堂 | 短信验证码真重要,可别轻易告诉人!》,从社交、游戏、医院、银行等方面,让我们再一次意识到了短信验证码的权限之大、重要性之高。上一次让我们有类似感受的,还要追溯到2020年信息安全老骆驼写的《一部手机失窃而揭露的黑色产业链—完整修订版》。没有读过这个这个故事的朋友,可以先阅读一波。
这个与我们生活息息相关的短信验证码,最直接的是来自于我们的SIM卡(由于eSIM卡目前普及程度较低,本文只讨论实体SIM卡)。现在是2022年11月了,如果我们的SIM卡被别人获取了,可能会给我们带来怎样的影响呢?带着这个问题,我们进行了一波小规模测试,在此也跟大家分享一下我们的测试情况。
短信验证码涉及的范围太广,本次我们只测试了用短信验证码访问部分常用的APP和部分常见的手机云空间的情况。
情景模拟:有人偷了我的手机,发现我手机有锁屏,他取出了我的SIM卡,安装到他自己的手机上,发现我的SIM卡没加锁,可以拿我的SIM卡打电话、发短信、收短信验证码。
那么,需要准备的有
简化版本:找同事借一个手机作为测试机,自己的手机使用蜂窝网络开热点提供网络给测试机进行测试。
我们对常用的支付、社交、办公、影音、餐饮、网购等APP做了个测试,大体来说,跟钱有关的APP安全策略都比较到位。
不过测试的时候还是觉得挺不可思议的,想象一下,别人偷了我的手机,取出了我的SIM卡,安装到他自己的手机里,就可以
轻易知道我在哪个厂打工,是否是天选打工人,还能发钓鱼站点来欺骗我的同事;
看我发过哪些微博,有什么特殊爱好,悄悄关注了哪些人,心情不好还能用我的账号发一条我出柜的微博;
查看我的bilibili,看我是否是一个抠脚大汉,有没有天天看美女跳舞;
看我在饿了么撸了多少单免单,平时是不是只吃得起6块钱的外卖,看我在世界杯这个项目贡献了多少吃货豆;
看我在拼多多薅了多少羊毛,买了哪些山寨货;
打开我的百度网盘或阿里云盘,看看我存了哪些自拍和小电影。(内心OS:好在是我证件信息不放在这些云盘,不然想想还真吓人)
万幸是他没办法直接登录我的招行APP,看着我那远比短信验证码位数短的账户余额;也没办法直接登录我的蚂蚁看看我去年买的那10块钱的基金到底亏剩几块了。
…
其他的我就不做过多联想了,具体可以对照下面的表格,自行验证和想象。
除了上一节提到的常见APP,我们可能也会使用手机厂商自带的云空间对短信、通讯录、日历、照片等内容进行备份。
于是我们组织了多人,用多个不同账号对常见手机厂商的云空间访问进行测试。但由于厂商的安全策略不同且非公开,我们测试的时候发现在同个厂商的不同账号表现不一定相同。总体来说,在测试的样本中,iPhone、华为是最安全的,多个测试都表明短信验证码无法直接登录,也就无法看到相关的备份内容了。但某些厂商则存在可以通过短信验证码登录的情况,还是需要留心一下的,毕竟手机云空间相较于其他APP可能相对更隐私一些。
由于人手有限,而且各家APP厂商有风控策略,我们的测试可能存在一定的片面性,仅供参考。从上面的测试结果我们可以看到,短信验证码的权限相当高。上面测试的都是头部企业,他们的APP尚且如此,其他的更不敢细想。
可能厂商在设计产品的时候,要多考虑安全与效率的问题;而站在个人使用的角度来看,则是要保护好自己的短信验证码。
那么我们怎样保护自己的短信验证码呢?
一般大家都会给手机设置锁屏密码(没设置的赶紧设置去哈),但这还不够。上文提到了一个大前提,那就是SIM卡没有加锁(也就是没设置开机验证SIM卡PIN码),如果我们的SIM卡设置了开机验证PIN码,且不是默认PIN码(0000或1234),那么上面的场景就不会轻易发生。所以我们除了给手机设置锁屏密码外,还需要给SIM卡设置PIN码。
所谓PIN码,简单来说就是SIM卡的密码,是保护SIM卡的安全措施。当我们给SIM卡设置开启PIN码后,每次开机就需要输入PIN码,才能访问SIM卡。而当输入PIN码错误三次后,SIM卡就会被锁住,需要PUK码才能解锁,解锁后PIN码就被重置回默认密码(0000或1234)了。
所谓PUK码,简单理解则是PIN解锁码,这个码是我们买SIM卡的时候,写在卡座上的,无法修改,可以在运营商那里查询到。
由于不同手机厂商设置手机SIM卡PIN码的方式不尽相同,这里给大家列举了常见的手机设置SIM卡PIN码的方式,大家可以参考一下。PIN码是跟着SIM卡走的,跟手机无关,在iPhone设置完,到了华为一样生效。
当你忘记SIM卡密码,SIM卡不幸被锁时,需要通过PUK码来解锁。
那么我们如何获取PUK码呢?当我们的SIM卡还正常使用的时候,我们可以在网上营业厅或者拨打客服电话的方式来获取。中国移动可以在微信搜索 10086+ 小程序,使用手机号码+短信验证码 登录,获取PUK码;中国联通可以登录中国联通APP,找到设置里面的安全中心来获取PUK码和PIN默认密码。关于查询PUK码,遇事不决找客服即可。
如果你的SIM卡已经被锁了,那么有可能需要携带身份证到线下营业厅找客服处理了。(当然,中国移动如果有服务密码的话,还是有办法通过10086解决的,别问我为什么知道)
我们通过实测一些常用APP和手机云空间来说明保护短信验证码的重要性,而保护短信验证码除了设置手机锁屏密码,更需要给SIM卡设置开启PIN码,这样才能更好地保护我们的个人信息安全。
以下是文中引用的汇总