https://hk.finance.appledaily.com/finan ... 8/20556544
... 利用手機短訊作為雙重認證或者兩步驗證,在很多希望講求安全性的平台上,包括金融科技、電郵、社交媒體及即時通訊軟件等,均被廣泛採用,但大家知不知道,其實背後存在着很大的保安風險?
黑客截取手機短訊不難
早前有朋友向我求助,指他們的WhatsApp雖然已經有雙重認證,卻依然無緣無故被騎劫,坊間也有網站聲稱可以騎劫別人的WhatsApp,究竟是甚麼原理?
2017年5月,有多份外國媒體及網站報道,指現今電訊商互聯網絡採用的SS7(Signaling System No.7)訊號系統有重大的漏洞,令黑客可以截取或轉發手機短訊,令到雙重認證形同虛設,德國有銀行客戶因而被盜取款項,相信騎劫WhatsApp也是利用同樣原理。
SS7是1980年的設計,當時完全沒有網絡保安的考慮,保安專家警告需盡快修補這個漏洞,但因為關乎到全球不同的網絡通訊商,在設備及技術上都要升格,這方案似乎是知易行難。
近年業界相繼推出新的認證方法,取代舊有的短訊認證,例如利用Google Authenticator,在網站掃描QR Code後便可以同步,有點像我們現在使用的保安編碼器。另外,香港公司IPification利用通訊商的IP地址,作為認證的新技術,連密碼都不需要輸入,同時可以有效阻截黑客盜取一次性密碼的風險。我相信香港金管局及各大銀行應該都知道,利用通訊商短訊作為認證的風險,但是有否想過甚麼應對的良方?
