2022真人实测,手机卡被偷的风险!

作者:老李

1 缘起

近期看到安全应急响应中心发的《网警课堂 | 短信验证码真重要,可别轻易告诉人!》,从社交、游戏、医院、银行等方面,让我们再一次意识到了短信验证码的权限之大、重要性之高。上一次让我们有类似感受的,还要追溯到2020年信息安全老骆驼写的《一部手机失窃而揭露的黑色产业链—完整修订版》。没有读过这个这个故事的朋友,可以先阅读一波。

这个与我们生活息息相关的短信验证码,最直接的是来自于我们的SIM卡(由于eSIM卡目前普及程度较低,本文只讨论实体SIM卡)。现在是2022年11月了,如果我们的SIM卡被别人获取了,可能会给我们带来怎样的影响呢?带着这个问题,我们进行了一波小规模测试,在此也跟大家分享一下我们的测试情况。

2 实测

短信验证码涉及的范围太广,本次我们只测试了用短信验证码访问部分常用的APP和部分常见的手机云空间的情况。

2.1 准备阶段

情景模拟:有人偷了我的手机,发现我手机有锁屏,他取出了我的SIM卡,安装到他自己的手机上,发现我的SIM卡没加锁,可以拿我的SIM卡打电话、发短信、收短信验证码。

那么,需要准备的有

  • 陌生手机 (可借同事的手机)
  • 陌生网络 (可使用蜂窝网络)
  • 正常在用的SIM卡

简化版本:找同事借一个手机作为测试机,自己的手机使用蜂窝网络开热点提供网络给测试机进行测试。

2.2 常见APP测试

我们对常用的支付、社交、办公、影音、餐饮、网购等APP做了个测试,大体来说,跟钱有关的APP安全策略都比较到位。

不过测试的时候还是觉得挺不可思议的,想象一下,别人偷了我的手机,取出了我的SIM卡,安装到他自己的手机里,就可以

  • 轻易知道我在哪个厂打工,是否是天选打工人,还能发钓鱼站点来欺骗我的同事;

  • 看我发过哪些微博,有什么特殊爱好,悄悄关注了哪些人,心情不好还能用我的账号发一条我出柜的微博;

  • 查看我的bilibili,看我是否是一个抠脚大汉,有没有天天看美女跳舞;

  • 看我在饿了么撸了多少单免单,平时是不是只吃得起6块钱的外卖,看我在世界杯这个项目贡献了多少吃货豆;

  • 看我在拼多多薅了多少羊毛,买了哪些山寨货;

  • 打开我的百度网盘或阿里云盘,看看我存了哪些自拍和小电影。(内心OS:好在是我证件信息不放在这些云盘,不然想想还真吓人)

  • 万幸是他没办法直接登录我的招行APP,看着我那远比短信验证码位数短的账户余额;也没办法直接登录我的蚂蚁看看我去年买的那10块钱的基金到底亏剩几块了。

其他的我就不做过多联想了,具体可以对照下面的表格,自行验证和想象。

 

2.3 常见手机云空间测试

除了上一节提到的常见APP,我们可能也会使用手机厂商自带的云空间对短信、通讯录、日历、照片等内容进行备份。

于是我们组织了多人,用多个不同账号对常见手机厂商的云空间访问进行测试。但由于厂商的安全策略不同且非公开,我们测试的时候发现在同个厂商的不同账号表现不一定相同。总体来说,在测试的样本中,iPhone、华为是最安全的,多个测试都表明短信验证码无法直接登录,也就无法看到相关的备份内容了。但某些厂商则存在可以通过短信验证码登录的情况,还是需要留心一下的,毕竟手机云空间相较于其他APP可能相对更隐私一些。

2.4 小结

由于人手有限,而且各家APP厂商有风控策略,我们的测试可能存在一定的片面性,仅供参考。从上面的测试结果我们可以看到,短信验证码的权限相当高。上面测试的都是头部企业,他们的APP尚且如此,其他的更不敢细想。

可能厂商在设计产品的时候,要多考虑安全与效率的问题;而站在个人使用的角度来看,则是要保护好自己的短信验证码。

3 防护

那么我们怎样保护自己的短信验证码呢?

一般大家都会给手机设置锁屏密码(没设置的赶紧设置去哈),但这还不够。上文提到了一个大前提,那就是SIM卡没有加锁(也就是没设置开机验证SIM卡PIN码),如果我们的SIM卡设置了开机验证PIN码,且不是默认PIN码(0000或1234),那么上面的场景就不会轻易发生。所以我们除了给手机设置锁屏密码外,还需要给SIM卡设置PIN码

所谓PIN码,简单来说就是SIM卡的密码,是保护SIM卡的安全措施。当我们给SIM卡设置开启PIN码后,每次开机就需要输入PIN码,才能访问SIM卡。而当输入PIN码错误三次后,SIM卡就会被锁住,需要PUK码才能解锁,解锁后PIN码就被重置回默认密码(0000或1234)了。

所谓PUK码,简单理解则是PIN解锁码,这个码是我们买SIM卡的时候,写在卡座上的,无法修改,可以在运营商那里查询到。

3.1 常见手机设置PIN码方法

由于不同手机厂商设置手机SIM卡PIN码的方式不尽相同,这里给大家列举了常见的手机设置SIM卡PIN码的方式,大家可以参考一下。PIN码是跟着SIM卡走的,跟手机无关,在iPhone设置完,到了华为一样生效。

3.2 获取PUK码的方法

当你忘记SIM卡密码,SIM卡不幸被锁时,需要通过PUK码来解锁。

那么我们如何获取PUK码呢?当我们的SIM卡还正常使用的时候,我们可以在网上营业厅或者拨打客服电话的方式来获取。中国移动可以在微信搜索 10086+ 小程序,使用手机号码+短信验证码 登录,获取PUK码;中国联通可以登录中国联通APP,找到设置里面的安全中心来获取PUK码和PIN默认密码。关于查询PUK码,遇事不决找客服即可。

如果你的SIM卡已经被锁了,那么有可能需要携带身份证到线下营业厅找客服处理了。(当然,中国移动如果有服务密码的话,还是有办法通过10086解决的,别问我为什么知道)

4 尾声

我们通过实测一些常用APP和手机云空间来说明保护短信验证码的重要性,而保护短信验证码除了设置手机锁屏密码,更需要给SIM卡设置开启PIN码,这样才能更好地保护我们的个人信息安全。

5 附录

以下是文中引用的汇总

《网警课堂 | 短信验证码真重要,可别轻易告诉人!》

《一部手机失窃而揭露的黑色产业链—完整修订版》

《老骆驼聊安全之短信验证码(一)》 

《PIN码》

《PUK码》

《在 iPhone 或 iPad 上使用 SIM 卡 PIN 码》 

《使用 PIN 码锁定 SIM 卡》

《PIN码锁定的处理方法》 

《手机密码很重要,SIM卡的PIN码更重要!》

《问答大咖说91:巧用PIN码保护信息安全》

赞(7)
未经允许不得转载:运维军团 » 2022真人实测,手机卡被偷的风险!

评论 抢沙发

*

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址