绕过手机短信验证码

绕过手机短信验证码 篇一:短信验证码接口安全隐患的应对措施 短信验证码接口应对验证码安全隐患的措施 目前市场上短信验证码状况: 题主提的是“短信验证码”，其实这个并不是手机相关的，那下面就讨论两个方面，一个是短信验证的安全和其他的二次验证，一个是手机本身如果被盗用的情况。事实上来说，由于手机是机卡分离的，在及时挂失的情况下手机丢失反倒目前不是对短信验证最主要的威胁。 短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的:用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。短信验证的预设是 1)认为用户的手机卡是不会轻易丢失和被窃取的，和用户绑定更紧密(相对于各种脱库事件，密码泄露的概率还是比丢手机的概率大多了，况且丢了手机可以立即去运营商挂失补卡，密码泄露了就是泄露了) 2)认为有手机号可以做二次验证的用户是真实用户(所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册)(并且能获得更多用户的真实信息用来...) 3)认为运营商维护的通讯信道比其他的都更安全 这些预设基本上是靠谱的，只是在智能手机普及的大环境下各 类短信木马此起彼伏，补卡攻击和无线电监听这些一直存在的问题也被关注和利用，短信验证的安全性就开始出现了问题。 目前来说对于短信验证的威胁主要有如下三个方面: 1)智能手机平台上的短信木马，这里【支付宝大盗分析报告】可以看到一个。这种木马的作用之前广泛用于支付宝诈骗，不法分子诱骗受害者通过二维码下载安装木马，随后重置受害者的支付宝、淘宝账户盗取钱财。因为之前支付宝的重置密码验证只通过短信验证码，木马在后台可以轻易窃取并转发给不法分子，实现对受害者的账号重置。这类木马编写简单，已经形成了非常完整的产业链:从制马人员到售马、租马，到实施钓鱼、欺骗、洗号、转移钱财。 在智能手机的年代，由于OS开放了短信操作和拦截的接口(Android直接提供，iOS需要越狱)，对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况(绝大部分情况下是这样)，短信验证事实上已经退化成了单因子验证，只要智能手机被安装了木马那么这些验证体系就会全线崩溃，攻击者甚至可以只通过钓鱼wifi全部搞定登陆密码、支付密码和短信验证，参见诸葛老师的演示:《每周质量报告》 20140615 移动支付的隐忧 2)补卡攻击、克隆攻击。之前提到了短信验证码事实上是基于手机号(SIM卡/运营商服务)而不是手机设备，那么如果能办一张和受害者相同的手机号(卡)，自然就能狸猫换太子， 接受受害者的验证码，重置各种账号。参考安卓系统手机绑定银行卡易成黑客“提款卡”，这里的薄弱环节就在运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。在早些年SIM卡构造简单的时候甚至还能直接去克隆一张卡出来。 3)无线电监听。这里主要包括GSM监听，包括监听空中短信，直接获取短信内容- -b，但这个玩法成本和范围有限制，相对1、2来说用在真正犯罪的情况下还比较少。发一个入门教程，范围很小但是设备价钱很低:GSM Hackeing 之 SMS Sniffer 学习 解决:1的情况有很大部分其实是反木马和系统开放度的问题，目前Android在4.4之后已经收紧了短信权限，相信在4.4普及之后情况会有一定好转。TrustZone这些耳熟能详方案就不提了。 3其实就是对运营商维护的信道安全提出了质疑。2依赖于运营商的各大营业厅加强安全意识，目前来说各家公司应该是收到过公安部的，现在去营业厅补卡还是盘查的比较严格的。 3可以考虑使用CDMA、3G、4G等更安全的信号通道，但目前也有降维攻击，强制将用户信号降为(2G)GSM之后进行监听。这种攻击的防御主要是使用非GSM制式的通讯服务，然后坐等GSM慢慢退出历史舞台。(移动用户哭了) 短信之外自然有一些更好的二次验证，比如OTP、指纹甚至虹膜也都可以使用。OTP(各种宝令、Google Authenticator、RSA token)已经比较普遍的。指纹随着具有指纹识别功能设备的普及 也会流行开来，但如何在隐私和安全性上取得平衡还需要考量。 至于手机可能存在的失窃情况，这些二次验证方案都有对策，首先给自己的手机设置锁屏密码是必须的步骤，防止手机丢失后被直接打开使用，增加犯罪成本。至于给SIM卡设置PIN这些，似乎用的人不多，这里就不讨论了。在假定设置了不会被轻易破解的锁屏密码的情况下，具体情况具体分析 1)短信验证:攻击者可能在解不开锁屏后就直接取出SIM卡，这种情况下手机丢失后立即去营业厅或者电话挂失号码。 2)OTP类:这些基于App的验证相对来说还可靠一些，但保险起见也需要做一下吊销，以重新生成种子。 3)指纹、虹膜:这种表示压力不大。。 短信验证码接口 1.手机短信验证码接口适用于触发类的应用，如用户获取验证码、手机找回密码、手机短信订单通知等;具体表现为由用户的某一个事件或操作所触发的短信。 2.相关措施的严密，是验证码安全的最大保障。验证码是很敏感的内容，有的通道供应商会从五个方面入手: 3.绑定服务器IP。供应商的短信验证码接口只能识别客户的绑定服务器IP，否则将会报错; 4.开启反投诉策略。短信验证码接口容易受到轰炸，供应商应将同个手机号码在24小时内接收同一根通道短信条数最大值设置为10; 5.防盗用策略。为了防止客户账号被盗，供应商可以限制短信验证码接口任何时间段的任意条数上限。类似于刚刚上线的App客户，短信日发送上限可以设置成10000条; 6.关闭网页发送短信权限。验证码基本上经由短信验证码接口提交，所以web端的网页提交功能应该关闭; 7.绑定后台登录手机号码。短信管理后台可以查看到每一条短信的发送详情，为了保证数据安全，必须要指定专人管理，登录后台要收到手机短信验证码才能登录成功。 当然，验证码安全并不完全由通道供应商单方面控制，从平台开发者本身出发，也需要做好防范机制，例如完善网站入口处的二次验证。 随着App项目的推广，短信验证码接口广泛应用在用户验证各方面，大大降低了非法注册，烂注册的数据的出现，所以其安全防范机制尤为重要。 篇二:短信验证码接口安全隐患的应对措施 短信验证码接口应对验证码安全隐患的措施 短信验证码接口相关措施的严密，是验证码安全的最大保障。验证码是很敏感的内容，有经验的通道供应商会从五个方面入手: 1、绑定服务器IP。供应商的短信验证码接口只能识别客户的绑定服务器IP，否则将会报错; 2、开启反投诉策略。短信验证码接口容易受到轰炸，供应商应将同个手机号码在24小时内接收同一根通道短信条数最大值设 置为10; 3、防盗用策略。为了防止客户账号被盗，供应商可以限制短信验证码接口任何时间段的任意条数上限。类似于刚刚上线的App客户，短信日发送上限可以设置成10000条; 4、关闭网页发送短信权限。验证码基本上经由短信验证码接口提交，所以web端的网页提交功能应该关闭; 5、绑定后台登录手机号码。短信管理后台可以查看到每一条短信的发送详情，为了保证数据安全，必须要指定专人管理，登录后台要收到手机短信验证码才能登录成功。 当然，验证码安全并不完全由通道供应商单方面控制，从平台开发者本身出发，也需要做好防范机制，例如完善网站入口处的二次验证。 随着App项目的推广，短信验证码接口广泛应用在用户验证各方面，大大降低了非法注册，烂注册的数据的出现，所以其安全防范机制尤为重要。 篇三:手机短信验证码接收平台操作说明 平台优势 1、一个手机号码可以重复使用，指定号码注册多个项目，比如注册了淘宝，再可以用这个手机号码注册支付宝 2、支持一对一服务，卡商可以对接自己的用户，用户可以对接自己的卡商 3、支持发送短信验证，目前90%的平台都不支持发送短信 4(如果从技术层面来说，别人的一般都是用的易语音开发，容易报毒，运行效率低下，我们是用的delphi语言，占用的资源低，稳定性要好。 短信验证平台手机短信验证码平台验证码接收平台手机验证码接收软件验证码接收 手机验证码接收系统 平台特点 可代收所有网址验证码短信(手机验证、手机认证、淘宝异常、注册账号、绑定账号) 全自动接收获取手机验证码(任意合法网站手机验证码) 独家最快10毫秒响应速度，极速获取验证码，网页版，无需下载、使用简单便捷 7*12小时即时QQ客服在线，为您排忧解难。 Y码验证码代收平台集各类网站用户账号注册、绑定、验证、解封等手机验证码的收发功能于一身，是一个可以获取任意合法第三方网站手机短信验证码的系统平台。 如今的互联网隐私被人们看的起来越重要，但是大多数网站在注册账户时、或要验证某些东西时强制用户输入自己的手机号接收验证码进行验证。这样对个人隐私造成很大的威胁。Y码验证码代收平台就是用来解决这一问题的系统平台。用户可以利用Y码验证码代收平台的手机号码来代接短信验证码进行验证，保护自己的隐私不受侵犯。 对于网赚的人来说经常需要注册大量帐号，而每个帐号一般都需要绑定一个单独的手机号码，普通人群不可能一个人拥有几十 甚至几百个手机号码，Y码验证码代收平台就可以完美解决注册多个帐号，手机认证的问题。 Y码验证码代收平台有10万在线手机号接收验证码，来满足每一位顾客的需求。Y码平台是全国号码量最多、验证码项目最齐全，并拥有即时响应的客服服务，吸引了大量网赚会员光临。 平台功能 账号注册手机验证码代收 账号绑定手机验证码代收 账号验证手机验证码代收 账号解封手机验证码代收 Y码验证码使用教程(图文教程) 第一步:注册 第二步: 第三步: 第四步: 第五步: