揭秘短信验证码中隐藏的安全漏洞

每一天，无数人登录邮箱、银行应用或社交媒体账户时，都会同时使用密码和通过短信接收的一次性验证码。这些验证码通常附带警示：“切勿向任何人分享”。但收到警示的人无从知晓，验证码在抵达之前被谁看过。

事实上，这类被称为双重身份验证的短信消息，在生成后几乎从不会直接由企业发送出去。它们会经由一连串中间商辗转传递，最终才抵达收件人。而由于用于发送短信的技术标准SMS已存在数十年，先天存在缺陷，处理此类短信的实体有可能看到其内容。但整个系统过于复杂，无论是发送方还是接收方，都无法准确知晓谁在沿途经手了这些消息。

一位行业吹哨人向《彭博商业周刊》和调查新闻机构Lighthouse Reports提供了一批非公开的电话网络数据，涉及2023年6月期间发送的约100万条携带双重验证码的短信。每条信息都经过一家鲜为人知的瑞士公司之手：芬克电信服务(Fink Telecom Services)。该公司及其创始人曾与多家政府情报机构和监控行业承包商合作，对手机进行监控和位置追踪。网络安全研究人员和调查记者此前也曾发布报告，指控芬克参与了多起入侵私人网络账户的事件。

这批数据不仅包含由系统生成的登录验证码，也记录了这些短信在传输过程中经过的路径。发送方包括谷歌、Meta、亚马逊(Amazon.com)、数家欧洲银行、Tinder、Snapchat、加密货币交易所币安(Binance)、加密聊天平台Signal以及WhatsApp。收件人遍布五大洲、百余国。

提供数据的人要求匿名以避免被报复。《彭博商业周刊》通过独立专家审查记录，并与其他公开数据交叉验证，确认了这批记录的真实性。

隐私保护专家帕特·沃尔什(Pat Walshe)表示，鉴于芬克电信与网络安全事件之间的诸多联系，而如今这些数据显示该公司仍能访问此类短信，“这是一个令人震惊的例证，充分说明了企业不应再使用短信发送登录验证码，”他说，“科技公司对自身供应链的尽职调查工作远远不够。”

在与《彭博商业周刊》的邮件交流中，芬克电信首席执行官安德烈亚斯·芬克(Andreas Fink)称，公司受到法律限制，无法查看所处理信息的内容。“我们提供基础设施和技术服务，包括信令和路由能力，”他写道，“我们不会分析或干预客户及其下游合作方所传输的内容。”他还称其公司已不再从事监控业务。

芬克这样的中间商，通常通过建立技术平台，以及与大量电信运营商谈判，提供更高效、更廉价的短信发送方式。市场研究公司Mobilesquared的创始人尼克·莱恩(Nick Lane)称，2024年该行业的价值已超过300亿美元。其中包括已上市的龙头公司，以及名不见经传的小型公司。大型服务商有时会将业务层层分包，包括分包给能以更低费率向某些国家发送短信的小型服务商。

这个复杂的行业可以为发送短信的公司节省时间和金钱。但安全专家指出，其架构本身蕴含的取舍存在严重风险，一旦短信被不法之徒截获，便可用于攻破用户的电子邮件或私人通讯。

“缺乏监管增加了风险，”电信防御公司(Telecom Defense Ltd)首席安全顾问让·戈特沙尔克(Jean Gottschalk)说。“任何人都可以从事这项工作，无需牌照，”他表示，“一家公司很快就能处理数十亿条短信。”

芬克曾是思科系统公司(Cisco Systems Inc.)的现场工程师，2016年创立芬克电信。尽管员工不到十人，这家公司却成功与多家政府承包商达成了协议，涉足多个技术监控领域。

对于验证码是否通过其网络传输，芬克不予置评。在《彭博商业周刊》出示部分数据样本后，他也不愿核实，仅称这些数据“可能是通过不当手段获取，甚至被篡改过”。

芬克电信的业务核心是与国际移动运营商签订合同，使用所谓的“全球通信标识”（global titles）。这些标识相当于电信行业内部的电话号码，持有者可借此向其他国家的移动网络发送信息。电信公司除了自用，也可将全球通信标识出租，赚取额外收入，这便为芬克这样的公司打开了通道。

根据《彭博商业周刊》审查的数据，芬克电信曾拥有或租用过瑞士、英国、纳米比亚和俄罗斯车臣等地的电信公司的全球通信标识。芬克不愿透露具体租用情况，但表示这属于“行业内常规且被接受的模式”。

这种说法或许有些牵强。代表电信公司的行业组织全球移动通信系统协会(GSMA)在2023年发布了一项行为准则，称行业“应避免租赁全球通信标识，并应首先探索其他满足合法业务需求的选择”。但这一准则并无强制力，全球通信标识租赁在全球范围仍普遍存在。今年4月，英国监管机构禁止了本国电信公司出租全球通信标识，警告称这种做法正被滥用，可能使犯罪分子能够拦截验证码。

安全专家已将芬克与多起事件关联起来，在这些事件中，短信验证码被拦截，用于入侵账户。2020年起，在特拉维夫经营网络安全公司Pandora Security的扎克·加诺特(Zack Ganot)调查了一系列针对加密货币投资者的攻击。某黑客获取认证码后，入侵了约20名以色列人的邮箱和加密货币账户。加诺特与一家以色列电信运营商合作调查此次入侵事件，并得出结论：芬克创办的另一家公司SMSRelay名下登记的一个全球通信标识，操纵了以色列的电信流量，获取了投资者的登录验证码。加诺特向瑞士当局报告了调查结果，但称未收到任何后续回应。

芬克否认与这些入侵事件有关，称SMSRelay已于2016年停止运营并拆除了基础设施。但根据《彭博商业周刊》审查的数据，登记在SMSRelay名下的全球通信标识直到2023年仍处于活跃状态。对此，芬克表示，任何对这些全球通信标识的滥用皆“非出自我们之手”。

2023年，以色列报纸《国土报》(Haaretz)也对另一事件展开调查，涉及一个名为“乔治小组”（Team Jorge）的“雇佣黑客”团体。该组织为政府提供服务，暗中操控社交媒体、拦截电子邮件、Telegram消息及其他线上通信。据报道，芬克电信曾协助乔治小组接入手机网络，以监控用户通信。芬克回应称自己与该团体没有关联，并称其过去的一家合作公司“间接向该团体提供过服务”，他随后已与那家公司断绝合作。

芬克的解释凸显了该行业的另一个漏洞：层层分包使得整个短信传输过程变得不透明。芬克主要充当分包商角色，与生成原始消息的公司并无直接关系。这意味着，即使这些公司对芬克产生疑虑，也缺乏直接途径来终止业务往来。

谷歌、Meta、Signal和币安均发表声明称，他们未与芬克电信有直接合作。谷歌一位发言人指出，短信验证存在“诸多挑战和安全问题”，并表示公司正在逐步弃用短信作为账户验证方式。Signal发言人则表示，平台已采取保护措施，抵御短信系统漏洞，例如在重新注册新设备时，除了短信验证码，还需输入PIN码。Meta发言人则称，公司已提醒合作伙伴履行合约中关于保护用户隐私与安全的义务，并已告知合作方，在向Meta及其关联公司提供服务时，不得将业务分包给芬克电信或以任何方式与之合作。

亚马逊、Snapchat和Tinder未回应置评请求。

短信固有的安全隐患早已广为人知，一些公司正积极引导用户改用其他验证方式。电子前哨基金会(Electronic Frontier Foundation)网络安全总监Eva Galperin建议用户尽量选择更安全的验证方式，比如生物识别验证，或使用专门的身份验证应用，这类应用可在用户手机本地生成验证码，而非通过不安全的手机网络传输。谷歌今年2月也宣布，Gmail将不再使用短信进行安全和反垃圾邮件验证，转而要求用户登录时扫描二维码。

芬克本人也承认存在安全隐患。他表示，此类漏洞的责任在于那些生成双重验证码，却依赖短信这种不安全的传输技术将其发送给用户的组织。“如果企业选择通过不安全的短信发送敏感信息，”他写道，“摆明了会有风险。

编辑/ 陈佳靖

来源/ 商业周刊