利用簡訊盜取比特幣、入侵WhatsApp

賬號的驗證不要過分依賴手機驗證簡訊。

已經有黑客利用7號信令系統（SS7）的漏洞盜取用戶的Gmail賬戶，再獲得綁定Gmail賬戶的比特幣錢包賬戶，洗劫錢包里的比特幣。

2016年6月，研究人員和Poisitive Technologies公司證實了，只需要知道用戶的手機號碼就可以盜取Facebook賬戶，利用的就是7號信令系統的漏洞。這個漏洞讓黑客可以繞過這些科技公司設置的安全認證措施。

7號信令系統是一種電信通信協議，從上世紀70年代後期開始一直沿用至今，這種協議可以使數據的傳輸非常穩定。

這次在7號信令系統中發現的漏洞，很有可能會被網路犯罪、恐怖分子、情報機構用來監控用戶的通信。

該協議允許手機運營商根據蜂窩信號發射塔，來收集用戶的位置信息並分享給其他的運營商。這個漏洞一旦被利用，那麼用戶就無處藏身。

來自Positive Technologies的研究團隊證實了，利用這個漏洞入侵WhatsApp和Telegram聊天賬戶。他們通過一些賬戶需要使用簡訊驗證的方式，來獲取賬戶信息，包括Gmail和Twitter都使用了類似驗證方式。一年後，漏洞還在，而且可以用來攔截一次性的雙因素驗證簡訊。

一旦黑客獲取了7號信令系統設備，就能攔截簡訊和電話。這種攻擊可以是來自外部的黑客入侵系統設備，也可以是公司內部的內鬼，黑客只需要只要用戶的手機號碼就行。

研究人員在知道了用戶的姓名、手機號碼信息後，通過谷歌的賬戶查找功能就能找到對應的郵箱地址。找到郵箱地址後，再通過重置密碼，就會收到谷歌發送的驗證簡訊。利用7好信令系統漏洞對驗證簡訊進行攔截，就能獲取驗證碼，獲取了Gmail賬戶的許可權，進入賬戶後，再通過重置綁定了該郵箱賬戶的比特幣錢包密碼，最終盜取比特幣錢包內的比特幣。

演示視頻：

Researchers demonstrate how to steal Bitcoin by exploiting S http://v.youku.com/v_show/id_XMzAzMzQxODQxNg==.html?spm=a2h3j.8428770.3416059.1

今年上半年，德國已經曝出，有黑客已經利用該漏洞盜取了用戶網上銀行賬號信息和賬戶里的財產。

7號信令系統的這個漏洞是用來攔截簡訊的多種方式中的一種。

目前使用驗證簡訊發送一次性雙因素驗證密碼是最可行也是最方便的。這個漏洞的出現應該引起各運營商的重視。

安全專家建議用戶，賬號的驗證不要過分依賴手機驗證簡訊，最好在手機上安裝類似Google authenticator兩步驗證APP對賬戶進行驗證，這樣會更安全。

歡迎關注我們的公眾號和網站：

http://www.wttech.org/

http://leaks.wttech.org/