日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

最近有研究人員發(fā)現(xiàn)了一些與回收手機(jī)號(hào)碼有關(guān)的隱私和安全隱患，這些號(hào)碼可能被濫用來(lái)實(shí)施各種黑客攻擊，包括賬戶(hù)竊取、網(wǎng)絡(luò)釣魚(yú)和垃圾郵件攻擊，甚至阻止受害者注冊(cè)在線服務(wù)。

專(zhuān)業(yè)成都網(wǎng)站建設(shè)公司，做排名好的好網(wǎng)站，排在同行前面，為您帶來(lái)客戶(hù)和效益!創(chuàng)新互聯(lián)為您提供成都網(wǎng)站建設(shè)，五站合一網(wǎng)站設(shè)計(jì)制作，服務(wù)好的網(wǎng)站設(shè)計(jì)公司，網(wǎng)站建設(shè)、網(wǎng)站制作負(fù)責(zé)任的成都網(wǎng)站制作公司!

[[398781]]

在抽樣回收的調(diào)查中，有近66%被發(fā)現(xiàn)與流行網(wǎng)站上的先前所有者的在線帳戶(hù)相關(guān)聯(lián)，黑客有可能通過(guò)簡(jiǎn)單地恢復(fù)與這些號(hào)碼相關(guān)聯(lián)的帳戶(hù)來(lái)進(jìn)行帳戶(hù)劫持。

研究人員說(shuō)：

攻擊者可以通過(guò)在線號(hào)碼轉(zhuǎn)換界面上顯示的可用號(hào)碼進(jìn)行循環(huán)，并檢查其中是否與先前所有者的在線帳戶(hù)相關(guān)聯(lián)。如果是這樣，攻擊者便可以獲取這些號(hào)碼并重置帳戶(hù)密碼，并在登錄時(shí)接收并正確輸入通過(guò)SMS發(fā)送的OTP。

這些發(fā)現(xiàn)是對(duì)美國(guó)電信專(zhuān)業(yè)T-Mobile和Verizon Wireless的新訂戶(hù)可用的259個(gè)手機(jī)號(hào)碼樣本的分析的一部分。這項(xiàng)研究是由普林斯頓大學(xué)的Kevin Lee和Arvind Narayanan教授進(jìn)行的，后者是信息技術(shù)政策中心的執(zhí)行委員會(huì)成員之一。

手機(jī)號(hào)碼回收是指將棄用的手機(jī)號(hào)碼重新分配給運(yùn)營(yíng)商的其他新用戶(hù)的標(biāo)準(zhǔn)做法，據(jù)美國(guó)聯(lián)邦通信委員會(huì)(FCC)估計(jì)，美國(guó)每年有3500萬(wàn)個(gè)手機(jī)號(hào)碼被棄用。

但是，如果攻擊者通過(guò)在兩個(gè)運(yùn)營(yíng)商提供的在線界面中隨機(jī)輸入這樣的號(hào)碼進(jìn)行反向查找，并且遇到回收的號(hào)碼后，購(gòu)買(mǎi)它們并成功登錄到該號(hào)碼所對(duì)應(yīng)的受害者帳戶(hù)，這也可能帶來(lái)嚴(yán)重的危險(xiǎn)。

該攻擊的核心策略是，運(yùn)營(yíng)商在其預(yù)付費(fèi)接口上對(duì)更改號(hào)碼的可用號(hào)碼沒(méi)有查詢(xún)限制，除了顯示“完整的號(hào)碼，這使攻擊者能夠在確認(rèn)號(hào)碼更改前發(fā)現(xiàn)回收的號(hào)碼。”

而且，已將100個(gè)采樣手機(jī)號(hào)碼標(biāo)識(shí)為與過(guò)去曾涉及數(shù)據(jù)泄漏的電子郵件地址相關(guān)聯(lián)，從而允許第二種帳戶(hù)劫持繞過(guò)基于SMS的多因素身份驗(yàn)證。在第三次攻擊中，259個(gè)可用號(hào)碼中的171個(gè)被列在了用戶(hù)搜索服務(wù)(例如BeenVerified)上，并在此過(guò)程中泄漏了先前使用者的敏感個(gè)人信息。

研究人員解釋說(shuō)：

一旦他們獲得了先前使用者的號(hào)碼，他們就可以實(shí)施假冒攻擊來(lái)進(jìn)行欺詐，或者挖掘出先前使用者積累的個(gè)人身份信息(PII)。

個(gè)人身份信息(Personally identifiable information ,PII)有多種形式，在許多情況下，它是在你沒(méi)有意識(shí)到的情況下創(chuàng)建的。這些數(shù)據(jù)可用于了解有關(guān)你的事情，你的習(xí)慣，你的興趣，并可被惡意行為者貨幣化或用于竊取你的身份或黑掉你的帳戶(hù)。多因素認(rèn)證提供商O(píng)kta在其《2020年隱私成本報(bào)告》中列出了13類(lèi)可被視為PII的數(shù)據(jù)：

• 用戶(hù)名和密碼;
• 電子郵件和已發(fā)送消息;
• 輸入到在線表單中的數(shù)據(jù);
• 網(wǎng)絡(luò)配置文件;
• 網(wǎng)絡(luò)瀏覽歷史;
• 在線時(shí)的物理位置;
• 網(wǎng)上購(gòu)買(mǎi)記錄;
• 搜索歷史記錄;
• 社交媒體帖子;
• 使用的設(shè)備;
• 在線完成的工作;
• 在線視頻觀看記錄;
• 在線音樂(lè)播放列表;

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院( National Institute of Standards and Technology，NIST)將PII廣泛地定義為“由代理機(jī)構(gòu)維護(hù)的有關(guān)個(gè)人的任何信息，包括任何可用于區(qū)分或追蹤個(gè)人身份的信息，例如姓名，社會(huì)安全號(hào)碼，出生日期和地點(diǎn)，母親的娘家姓或生物特征記錄;以及與個(gè)人相關(guān)或可關(guān)聯(lián)的任何其他信息，例如醫(yī)療，教育，財(cái)務(wù)和就業(yè)信息?！?/p>

除了上述三種反向查找攻擊外，手機(jī)號(hào)碼回收還會(huì)對(duì)以前和未來(lái)的用戶(hù)構(gòu)成另外五種威脅，允許惡意行為者冒充過(guò)去的用戶(hù)，劫持受害者的在線手機(jī)帳戶(hù)和其他相關(guān)的在線帳戶(hù)，更糟糕的是，還可以執(zhí)行拒絕服務(wù)攻擊。

攻擊者獲得一個(gè)號(hào)碼后，悔注冊(cè)一個(gè)需要手機(jī)號(hào)碼的在線服務(wù)，然后公布這個(gè)號(hào)碼。當(dāng)受害者獲得了這個(gè)號(hào)碼并試圖申請(qǐng)同一項(xiàng)服務(wù)時(shí)，他們會(huì)因?yàn)橘~戶(hù)已經(jīng)存在而被拒絕。然后攻擊者可以通過(guò)短信聯(lián)系受害者，要求支付一定的資金來(lái)轉(zhuǎn)讓平臺(tái)上的號(hào)碼。

為了回應(yīng)這個(gè)調(diào)查結(jié)果，T-Mobile表示已更新其“更改你的電話(huà)號(hào)碼”支持頁(yè)面，其中包含有關(guān)提醒用戶(hù)“更新可能保存了你的電話(huà)號(hào)碼的任何帳戶(hù)上的聯(lián)系電話(huà)，例如銀行帳戶(hù)通知，社交媒體等。”并指定FCC規(guī)定的號(hào)碼有效期為45天，以允許重新分配舊號(hào)碼。

同樣，Verizon也對(duì)其“管理Verizon移動(dòng)服務(wù)”支持頁(yè)面做了類(lèi)似的修改。但是，這兩家公司似乎都沒(méi)有做出任何具體改變，使攻擊更加難以展開(kāi)。

這項(xiàng)研究說(shuō)明了為什么基于SMS的身份驗(yàn)證是一種危險(xiǎn)方法的另一項(xiàng)證據(jù)，因?yàn)樯厦娓攀龅墓艨赡苁构粽邿o(wú)需知道密碼就可以劫持啟用了SMS 2FA的帳戶(hù)。

專(zhuān)家已建議，如果你需要棄用你的手機(jī)號(hào)碼，首先把它與在線服務(wù)斷開(kāi)連接。另外使用更安全的SMS-2FA替代方案，例如身份驗(yàn)證器應(yīng)用程序。

本文翻譯自：https://thehackernews.com/2021/05/new-study-warns-of-security-threats.html

 

分享名稱(chēng)：用過(guò)的手機(jī)號(hào)碼千萬(wàn)別隨意處置，小心被黑客利用
文章URL：http://m.5511xx.com/article/dhhoeee.html