1 月 22 日消息,科技媒体 Ars Technica 今天(1 月 22 日)报道,联合研究团队近日发布论文指出,数百万用户正因短信(SMS)中的免密登录链接面临严重的隐私泄露风险。
该研究由新墨西哥大学、亚利桑那大学、路易斯安那大学及 Circle 公司联合发布,指出广泛应用于保险报价、求职招聘及家政服务等领域的“短信免密登录”功能,正将数百万用户的隐私置于危险境地。
IT之家注:为了省去用户记忆密码的麻烦,许多服务商仅要求用户输入手机号,随后通过短信发送包含认证链接的消息。
然而,研究人员指出,这种看似便捷的机制背后存在重大设计缺陷,让诈骗者能够轻易实施身份盗窃,甚至在未获授权的情况下查看或修改用户的部分保险申请单等敏感业务数据。
该安全漏洞的根源在于验证链接的生成机制过于简单,缺乏足够的随机性(即“低熵”)。研究发现,许多服务商生成的安全 tokens 呈现出明显的序列规律。
攻击者无需具备高深的网络安全知识,只需使用消费级硬件,对截获或推测的 URL 链接末尾进行简单修改(例如将字符“ABC”递增为“ABD”),即可通过“枚举攻击”访问其他用户的账户。
部分劣质服务甚至允许攻击者在点击链接后,无需任何额外验证即可长驱直入,且这些链接的有效期往往长达数年,进一步放大了安全隐患。
为了评估事态严重性,研究团队分析了公共短信网关中超过 3300 万条短信,提取了约 3.23 亿个唯一 URL。结果令人触目惊心:在涉及的 177 项服务中,有 125 项允许攻击者大规模枚举有效 URL。
这意味着,任何持有链接的人都可能获取陌生人的社会安全号码(SSN)、出生日期、银行账号及信用评分。论文第一作者 Muhammad Danish 指出,虽然普通用户应避免向不可信来源提供信息,但此次受影响的名单中不乏拥有数百万活跃用户的知名服务商,这使得用户防不胜防。
尽管漏洞已公开,但服务商的响应速度令人担忧。在研究人员尝试联系的 150 家受影响服务商中,仅有 18 家给予回复,最终只有 7 家修复了缺陷。
针对此类风险,DuckDuckGo 和 404 Media 等隐私导向型网站已转向使用基于电子邮件的“魔术链接(Magic Link)”。这种方式通过发送有时效限制(如 24 小时内有效)的一次性登录链接,结合邮箱本身的双重验证(2FA),在一定程度上提升了安全性。
参考
- Private Links, Public Leaks: Consequences of Frictionless User Experience on the Security and Privacy Posture of SMS-Delivered URLs