这已经不是5G第一次爆出安全漏洞,去年年底,海外普渡大学和爱荷华大学的研究人员通过研究发现了存在于5G网络中的多个安全漏洞,这些漏洞会导致黑客能够轻松获取被攻击者的通话和短信记录。
近日,在GeekPwn 2020 国际安全极客大赛上,腾讯安全玄武实验室演示了一项最新的5G安全研究发现:利用5G通信协议的设计问题,黑客可以"劫持"同一个基站覆盖下的任意一台手机的TCP通讯,包括各类短信收发、App和服务端的通信均有可能被劫持。这对最近备受争议的短信业务来说又是一记暴击!
事实上,这已经不是5G第一次爆出安全漏洞,去年年底,海外普渡大学和爱荷华大学的研究人员通过研究发现了存在于5G网络中的多个安全漏洞,这些漏洞会导致黑客能够轻松获取被攻击者的通话和短信记录。
5G似乎不比4G安全
过去我们每每遭受垃圾短信和电信诈骗之苦时,常常都会自我安慰:到了5G就好了。毕竟无论是电信设备厂商还是电信运营商都告诉我们,5G 网络必然比 4G 网络更安全。原因也说了很多,比如,5G引入了用户永久标识符和用户隐藏标识符,可以对用户身份信息进行加密,更好地抵抗网络攻击,确保个人隐私安全。
但从现实情况来看,5G网络的安全问题正在逐步暴露出来,造成的影响首当其冲的正是短信业务!
短信验证码成为众矢之的
过去很长一段时间里,"短信验证码"已经成为了所有人网络空间身份认证的主要渠道,使用手机号+验证码就可以完成很多重要操作,比如快捷登录、更改密码、转账、支付、申请贷款等等操作。
但是,由于短信存在的安全漏洞,很多时候,短信验证码完全没有起到身份认证的作用,反而成为了黑产有机可乘的漏洞,造成用户财产损失。
本来我们仍寄希望于在5G时代,短信业务能够彻底补上安全漏洞,成为更值得信赖的身份认证工具,重新焕发市场生机,而运营商也想把5G时代的信息业务打造成移动互联网的新入口,三大运营商联手打造了5G 新消息,将原来单纯的文本信息升级为包括图片、视频、文字等在内的富媒体信息,准备大干一场!
但从现实情况来看,情况并不是那么乐观,虽然修补安全漏洞并不是一件多复杂的问题,但可怕的是,运营商也很难提前找到漏洞并进行修复,5G的标准文档量非常大,如何从数千万字的海洋里发现漏洞,是非常困难的事情。对运营商困难,但对那些居心叵测的黑产从业者来说,他们有足够的动力和耐心。
那短信业务会不会消亡呢?
从数据上看,短信业务似乎不光不会消亡,反而在焕发蓬勃生机——根据中国移动前三季度的数据现实,短信使用量达7130亿条,同比增长15.5%,保持良好增长态势,对总体营收的贡献仍然不可忽视。
这似乎与我们现实的使用感知有很大出入,十年前我们每天可能要发几十条短信,但今天我们可能一年都不会主动发一条短信,那为什么短信使用量反而会增长呢?原因正是因为短信验证码是当前最主要的身份认证手段,无论是网站注册、密码找回,还是第三方支付、转账汇款,都需要通过短信验证的方式实现,短信验证码这道安全程序似乎成为了所有互联网企业的必选。
这样的好景会持续下去吗?
当前对短信业务来说可能是最好的光景了,短信验证码似乎垄断了互联网身份验证这一庞大的市场,哪怕你要重新登陆微信,你很可能都需要用到短信验证码,但是,这样的好景会持续下去吗?或者说,短信变身5G新消息后,会创造更大的辉煌吗?
我认为,当下频频发生的安全事件,正在削弱短信作为身份认证的权威性,而事实上,短信业务在产品设计逻辑上也不是为身份认证而设计的,在这种情况下,一旦出现另一个更安全可靠的身份验证工具,短信就将被迅速取代。
至于5G新消息能否成为新时代短信业务的一片天?对不起,我对这个雷声大雨点小的业务真不抱希望。