「鬼電話」讓黑客能盜用你的電話號碼

現代人每天的生活，不管是看新聞、聽音樂，還是購物、吃飯，都離不開手機。可以說，智能手機真是21世紀「最偉大的發明之一」。 當然，與電腦不同的是，手機中存著用戶的各種類型信息，包括個人郵箱、個人敏感信息、銀行信息等等。基於此，黑客們已經悄無聲息的將他們的攻擊方向轉移到了移動平台上。所以，當心你的手機！

360旗下的獨角獸團隊在拉斯維加斯的黑客大會上展示了一種名為「鬼電話」的「惡意攻擊」。這種攻擊能讓黑客盜取用戶的通話和簡訊內容。

黑客利用認證流程中存在的漏洞

上周，在2017黑帽安全技術大會和Def Con世界黑客大會上，該團隊的安全研究人員介紹了4G LTE網路下電路域回落（Circuit Switched Fallback）存在的一種漏洞。研究者們發現，在電路域回落過程中，有一步認證流程被遺漏了。

「該漏洞可在許多方面被黑客利用，」獨角獸團隊的無線電安全研究員黃琳告訴記者，「我們已經將該漏洞報告給了全球移動通信系統聯盟（GSMA）。」

黑客利用漏洞截獲手機驗證簡訊

該安全研究團隊進行了一個場景展示，展示者利用盜取的電話號碼修改了用戶的谷歌賬號密碼。

盜取用戶的通訊內容後，研究者們登上了該用戶的谷歌郵箱，然後點擊「忘記密碼」。由於谷歌會把驗證碼發送到受害者手機上，黑客們就能截獲簡訊內容，然後重設密碼。受害者的4G網路並未掉線，也不知道自己被黑客攻擊了。

如何隨意攻擊目標。圖自：獨角獸團隊

許多app的賬戶都通過簡訊驗證來重設登錄密碼，這意味著黑客們能通過電話號碼開始密碼重設，之後截獲驗證簡訊。

多方合作致力解決危險漏洞

研究者們表示，黑客們還能模仿受害者打電話或發簡訊。此外，「鬼電話攻擊」還能獲取受害者的電話號碼，然後利用號碼進行進一步的攻擊。

受害者並不會意識到自己受到了攻擊，因為黑客並沒有使用假的4G或2G基站，也沒有進行小區重選。這些攻擊能隨機選擇受害者，也能攻擊指定受害者。

該研究團隊還向運營商和網路服務提供商們提出了許多應對措施。研究者們表示，他們正與運營商和終端製造商合作解決這一漏洞。

文章由企鵝科學和科普中國聯合推出

轉載請註明來自「科普中國」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！