【網絡保安】短訊認證存漏洞 方保僑︰業界應及早準備新方法

知識內涵 18:31 2018/11/29

分享:

近一年不斷爆出網絡安全問題,其中電子錢包被不法犯子挪用的情況令人高度關注。本港的機構普遍透過通訊商發出的一次性密碼(One Time Password)作雙重認證(Two Factor Authentication)以核實交易,不過香港資訊科技商會榮譽會長方保僑指出,外國已有事例證實短訊驗證碼存在漏洞,容易被不法份子攔截,更建議業界及政府應開始研究新的保安認證方式。

短訊驗證碼如何運作?

第七號訊令系統(Signaling System Number 7,SS7)在1975年面世,是一種被廣泛應用在現代通訊網路的共通頻道訊號系統,亦是國際電訊聯盟(ITU)所推薦的訊令系統標準,它可建立或拆除全球大多數公用交換電話網路(PSTN)的通話,亦支援號碼可攜或文字簡訊等功能,也允許不同通訊商之間的業務交換。

德國事件突顯短訊驗證碼漏洞

去年德國爆出一名黑客先以木馬程式感染受害者的電腦,取得其銀行帳戶的密碼,再攔截銀行發送至受害人手機上的短訊驗證碼,再登入其帳戶將款項盜走,事件突顯出SS7的漏洞。

早在2008年就有德國研究員公開SS7存在漏洞,黑客可竊取手機的語音通訊、簡訊、轉接電話,或是追蹤手機位置。去年,美國眾議院議員Ted Lieu也在美國電視節目上示範如何只需知道他的電話號碼就能竊聽他的手機。

方保僑︰及早準備新的保安認證方式

方保僑接接受本網訪問時指出,SS7已使用了超過40年,未能追上現今日益增加的網絡保安的要求,幸好香港還未爆出類似德國的事件,但他本人亦收過朋友的查詢,指他們的WhatsApp已經有做雙重認證,卻依然被騎劫。他建議:「政府及業界應及早準備,尋找新的認證方法」。

他指出,近年業界相繼推出新的認證方法,目的是提供更安全、更方便的網絡認證方法,例如利用Google Authenticator,在網站掃描二維碼後便可以同步;香港公司IPification,則利用通訊商的IP地址,作為認證的新技術。這些方法比短訊驗證碼更安全。

被問到這些新認證方法會否很難在香港普及,或是為市民帶來不便,方保僑指出,假若本港爆出短訊驗證碼的保安事件,屆時各機構也必須另覓新的保安驗證方法,市民亦無可避免要適應新方法。

撰文 : 陳啟昌 本網記者

緊貼財經時事新聞分析,讚好hket Facebook 專版