来自美国普林斯顿大学的4名研究人员,在上周公布了一项报告,指出美国电信企业对于用户切换SIM卡时,所要求的身份认证机制安全性不足,让黑客轻易取得基于用户身份的SIM卡,在所测试的50张预付卡中,成功交换了39张SIM卡。
有不少服务的双因素认证机制支持以手机短信作为密码之外的身份认证工具,企业发送一次性认证码到用户的手机上,用户只要在服务上输入密码与一次性认证码就能通过身份认证,但有越来越多的黑客通过SIM卡交换(SIM Swap)攻击,以用户的身份诈骗电信企业,把黑客误认为用户并切换SIM卡,而让黑客能以用户的身份取得一次性认证码,进而危害用户的权益。
研究人员向美国电信运营商各购买了10张预付卡,包括AT&T、T-Mobile、Tracfone、US Mobile与Verizon Wireless,再打电话去这些企业的客服,宣称SIM卡故障了,但手边有一张新的SIM卡,可否将身份切换到新SIM卡上,借以验证这些电信企业的身份认证能力,结果发现企业所提供的机制缺乏安全性,在50张SIM卡中,成功切换了39张。
其实电信企业各有确认用户身份的规定,它们可能要求用户提供地址、电子邮件地址、激活日期、最后一次付款、设备信息、最近一次拨打的电话、PIN码或密码、安全问题、短信OTP或电子邮件OTP等,在上述的程序中,只有PIN码或密码、短信OTP与邮件OTP是被视为安全的认证方式,其它都有机会被绕过。
例如研究人员只要额外增值就能掌握最后一次付款时间,先拨打受害者电话使得他回调,就能掌握最后一次拨打的电话号码,个人信息或账号信息只要利用数据搜集器就能取得,设备信息可通过恶意的Android程序取得,安全问题则经常能被猜到。
更令人傻眼的是,Tracfone与US Mobile有些客服,完全没有询问客户身份就切换了SIM卡。
在最终的结果中,研究人员成功掉换了向AT&T、T-Mobile与Verizon购买的各10张SIM卡,Tracfone与US Mobile则分别有6张及3张是成功的,以总数50张来看,成功几率高达78%。
接着研究人员还拿着这些已被成功交换的SIM卡,去测试超过140个线上服务,其中有17个网站只需要SIM卡就允许黑客取得受害者账号。
该研究主要测试的是预付卡,研究人员指出,这些电信运营商对于月租型SIM卡账号的规定较为严格,也较不容易展开SIM卡交换攻击。