2014-10-17苏州国税不应只从技术角度考虑 封堵短信嗅探漏洞-MyWishList

不应只从技术角度考虑 封堵短信嗅探漏洞-MyWishList
近日新堂爱,一则报道似乎引起了小部分人的注意。讲的是豆瓣网友“独钓寒江雪”在自己毫不知情的情况下,支付宝、京东及关联银行卡被盗刷的事情霞浦搜才网。

图片来源:独钓寒江雪豆瓣
事实上,不用分析都知道,这种盗刷的思路很简单:无非就是嗅探到手机号之后将军红石材,利用撞库和一些社工手段获取相关密码,再利用早已存在不知道多少年的GSM漏洞进行短信验证码的劫持。朴贤善也就是所谓的“短信嗅探+中间人攻击”。
有些媒体自媒体据此得出结论,为了避免盗刷,苏州国税应该“关闭一些网站、APP的免密支付功能,主动降低每日最高消费额度”——这和要想避免被强奸就应该多穿一点在逻辑上似乎没啥区别吧?
归根到底,类似事件的根源,还是在我过去多次强调的:短信/手机号作为验证工具的不靠谱上。
早在两年前的这篇文章中,我就已经提到过这个GSM漏洞。只不过,没有人亲自体验,不会知道个中滋味。
事实上,作为一种验证工具妻乃上将军,无论是便捷度还是安全性,手机号远没有电子邮箱靠谱。
且不说手机是一种随时可能被偷、死机、没电、停机、没信号的设备;要知道,手机号码资源是属于国家,存在二次三次多次利用的可能趣盘网。即便是日后运营商推出了取消号码绑定网站/app注册信息的功能并且真的能够全网接入,你又能保证新买的手机号之前没有被人在其他网站上被标记骗子死全家么?
还有人说,你看这个例子中支付宝等服务还是比较放心的,后台风控监测到有风险之后,通过人脸校验可以有效阻止盗刷。
太天真。
技术的进步永远会超出大众的想象药王茶。
今年五月国有三不祥,就有一组研究人员首次完成了把替身的3D头部和面部动作整体搬运到目标主角脸上阿花卖嫁。

该团队只要掌握几分钟的主角视频作为训练素材骆伟科,就可以获得高质量的替身表演——无论是头发、脖子还是肩膀甚至是表情,都可以单独调整。
至于视频来源的获得k1619,现在各种直播网站还不够多吗?
所以,归根到底腹痛病美男,短信/手机号不适合用来作为一个主要的验证手段极速僵尸。
至于有些媒体提到的用二次验证app,听起来是比短信好一些,但如果手机丢了,要在新设备上重新安装该app,如果还是通过短信验证的方式,意义何在?

瞬息万变的移动互联网时代,每天都会诞生无数新鲜的、好玩的!
快来看看,今天我们的MyWishList里又有哪些好玩的?