一項最新研究顯示,數百萬用戶正因短信免密登錄功能面臨隱私泄露的嚴重威脅。這種被廣泛應用于保險報價、求職招聘和家政服務領域的便捷登錄方式,正在將用戶置于潛在的安全風險之中。
由多所大學及科技公司組成的聯合研究團隊發現,短信免密登錄機制存在重大設計缺陷。該功能通過向用戶手機發送包含認證鏈接的短信來替代傳統密碼,雖然省去了記憶密碼的麻煩,卻為詐騙者提供了可乘之機。研究人員指出,攻擊者可能利用這些漏洞實施身份盜竊,甚至在未經授權的情況下訪問或修改用戶的敏感業務數據,如保險申請單等。
問題的根源在于驗證鏈接的生成方式過于簡單,缺乏必要的隨機性。研究發現,許多服務商使用的安全令牌(tokens)存在明顯的序列規律,這使得攻擊者能夠通過簡單的修改嘗試(如將鏈接末尾的字符"ABC"改為"ABD")來訪問其他用戶的賬戶。這種被稱為"枚舉攻擊"的手段,即使不具備專業網絡安全知識的人也能實施。
更令人擔憂的是,部分服務商的安全措施形同虛設。攻擊者在點擊鏈接后無需任何額外驗證即可直接進入系統,且這些鏈接的有效期往往長達數年,進一步加劇了安全風險。研究團隊通過分析公共短信網關中的超過3300萬條短信,提取了約3.23億個唯一URL,發現177項服務中有125項存在此類漏洞,允許攻擊者大規模枚舉有效鏈接。
盡管研究團隊已將漏洞情況告知相關服務商,但響應情況不容樂觀。在聯系的150家受影響企業中,僅有18家給予回復,最終只有7家采取了修復措施。這種緩慢的應對速度引發了對用戶數據安全的進一步擔憂。
面對此類風險,一些注重隱私保護的網站已開始采用更安全的替代方案。例如,DuckDuckGo和404 Media等平臺轉而使用基于電子郵件的"魔術鏈接"登錄方式。這種機制通過發送有時效限制(通常為24小時內有效)的一次性登錄鏈接,并結合郵箱的雙重驗證功能,在一定程度上提高了賬戶安全性。
