一项最新研究显示,数百万用户正因短信免密登录功能面临隐私泄露的严重威胁。这种被广泛应用于保险报价、求职招聘和家政服务领域的便捷登录方式,正在将用户置于潜在的安全风险之中。
由多所大学及科技公司组成的联合研究团队发现,短信免密登录机制存在重大设计缺陷。该功能通过向用户手机发送包含认证链接的短信来替代传统密码,虽然省去了记忆密码的麻烦,却为诈骗者提供了可乘之机。研究人员指出,攻击者可能利用这些漏洞实施身份盗窃,甚至在未经授权的情况下访问或修改用户的敏感业务数据,如保险申请单等。
问题的根源在于验证链接的生成方式过于简单,缺乏必要的随机性。研究发现,许多服务商使用的安全令牌(tokens)存在明显的序列规律,这使得攻击者能够通过简单的修改尝试(如将链接末尾的字符"ABC"改为"ABD")来访问其他用户的账户。这种被称为"枚举攻击"的手段,即使不具备专业网络安全知识的人也能实施。
更令人担忧的是,部分服务商的安全措施形同虚设。攻击者在点击链接后无需任何额外验证即可直接进入系统,且这些链接的有效期往往长达数年,进一步加剧了安全风险。研究团队通过分析公共短信网关中的超过3300万条短信,提取了约3.23亿个唯一URL,发现177项服务中有125项存在此类漏洞,允许攻击者大规模枚举有效链接。
尽管研究团队已将漏洞情况告知相关服务商,但响应情况不容乐观。在联系的150家受影响企业中,仅有18家给予回复,最终只有7家采取了修复措施。这种缓慢的应对速度引发了对用户数据安全的进一步担忧。
面对此类风险,一些注重隐私保护的网站已开始采用更安全的替代方案。例如,DuckDuckGo和404 Media等平台转而使用基于电子邮件的"魔术链接"登录方式。这种机制通过发送有时效限制(通常为24小时内有效)的一次性登录链接,并结合邮箱的双重验证功能,在一定程度上提高了账户安全性。
