1 月 22 日消息，科技媒體 Ars Technica 今天（1 月 22 日）報道，聯合研究團隊近日發布論文指出，數百萬用戶正因短信（SMS）中的免密登錄鏈接面臨嚴重的隱私泄露風險。

該研究由新墨西哥大學、亞利桑那大學、路易斯安那大學及 Circle 公司聯合發布，指出廣泛應用于保險報價、求職招聘及家政服務等領域的“短信免密登錄”功能，正將數百萬用戶的隱私置于危險境地。

注：為了省去用戶記憶密碼的麻煩，許多服務商僅要求用戶輸入手機號，隨后通過短信發送包含認證鏈接的消息。

然而，研究人員指出，這種看似便捷的機制背后存在重大設計缺陷，讓詐騙者能夠輕易實施身份盜竊，甚至在未獲授權的情況下查看或修改用戶的部分保險申請單等敏感業務數據。

該安全漏洞的根源在于驗證鏈接的生成機制過于簡單，缺乏足夠的隨機性（即“低熵”）。研究發現，許多服務商生成的安全 tokens 呈現出明顯的序列規律。

攻擊者無需具備高深的網絡安全知識，只需使用消費級硬件，對截獲或推測的 URL 鏈接末尾進行簡單修改（例如將字符“ABC”遞增為“ABD”），即可通過“枚舉攻擊”訪問其他用戶的賬戶。

部分劣質服務甚至允許攻擊者在點擊鏈接后，無需任何額外驗證即可長驅直入，且這些鏈接的有效期往往長達數年，進一步放大了安全隱患。

為了評估事態嚴重性，研究團隊分析了公共短信網關中超過 3300 萬條短信，提取了約 3.23 億個唯一 URL。結果令人觸目驚心：在涉及的 177 項服務中，有 125 項允許攻擊者大規模枚舉有效 URL。

盡管漏洞已公開，但服務商的響應速度令人擔憂。在研究人員嘗試聯系的 150 家受影響服務商中，僅有 18 家給予回復，最終只有 7 家修復了缺陷。

針對此類風險，DuckDuckGo 和 404 Media 等隱私導向型網站已轉向使用基于電子郵件的“魔術鏈接（Magic Link）”。這種方式通過發送有時效限制（如 24 小時內有效）的一次性登錄鏈接，結合郵箱本身的雙重驗證（2FA），在一定程度上提升了安全性。