最近的研究發現,通過短信發送的鏈接或代碼對用戶進行認證的網站存在重大隱私風險。這種方法被許多服務使用,包括保險、工作列表和推薦等,數百萬人因此面臨潛在的詐騙和身份盜竊風險。
為了簡化登錄過程,許多服務要求用戶提交電話號碼而不是創建傳統的用戶名和密碼。當用戶嘗試登錄時,會通過短信發送一個鏈接或通行碼。然而,上周發布的一篇論文中識別出超過700個端點,被175多個服務使用,這些服務危及用戶的安全和隱私。
一個關鍵問題是使用了容易被枚舉的鏈接,這些鏈接可以通過調整URL中的安全令牌進行猜測。例如,將“123”改為“124”或將“ABC”改為“ABD”,從而使未經授權的個人訪問個人賬戶。這可能讓攻擊者查看敏感信息或以其它用戶的身份進行操作。
此外,一些認證鏈接的令牌組合較少,使其容易受到暴力破解攻擊。此外,一些鏈接僅需短信點擊一下即可授予訪問權或允許數據修改,缺乏進一步的身份驗證。令人震驚的是,幾個鏈接年久未過期,長期增加未授權使用的可能性。