范 敏， 陳 磊

(合肥師范學(xué)院 經(jīng)濟與管理學(xué)院，合肥 230601)

移動電子商務(wù)中的短信驗證碼安全威脅問題研究

范 敏， 陳 磊

(合肥師范學(xué)院 經(jīng)濟與管理學(xué)院，合肥 230601)

隨著移動電子商務(wù)安全問題的凸顯，作為常見解決方案的短信驗證碼技術(shù)面臨著短信木馬和惡意軟件、運營商或者服務(wù)商發(fā)生信息泄露、補卡攻擊和克隆攻擊、手機打碼平臺等安全威脅。針對上述問題，文章分別從電商平臺、用戶和服務(wù)商角度提出了加強對數(shù)據(jù)安全的保護、增強對手機系統(tǒng)安全威脅的認知和增加智能碼驗證方式等應(yīng)對策略。

短信驗證碼；短信木馬；信息泄露

近年來隨著我國移動電子商務(wù)持續(xù)高速發(fā)展，截至2016年12月，我國手機網(wǎng)民規(guī)模達6.95億，增長率連續(xù)三年超過10%;使用手機網(wǎng)上支付用戶規(guī)模增長迅速，達到4.69億，年增長率為31.2%;網(wǎng)民手機網(wǎng)上支付的使用比例由57.7%提升至67.5%，其中有50.3%的網(wǎng)民在線下實體店購物時使用手機支付結(jié)算[1]。伴隨著這一趨勢，O2O、共享經(jīng)濟等依托移動支付的一大批線下應(yīng)用迅速崛起。而在移動支付快速發(fā)展的過程中難以回避的首要問題就是安全問題，支付安全性是許多消費者是否選擇移動支付的核心因素。

目前國內(nèi)學(xué)術(shù)界對移動電子商務(wù)安全問題做了大量研究：郭寶丹等針對移動電子商務(wù)的安全與解決措施等方面進行了論述,并提出為了更好地解決移動電子商務(wù)中出現(xiàn)的潛在威脅,需要不斷增強TCP/IP的安全[2]；車念等針對移動電子商務(wù)中的信息安全需求,提出一種融合AES、RSA和CPRS混沌3種加解密方式的保密通信系統(tǒng)[3]；鐘遠濤以移動電子商務(wù)存在的安全問題為視角,介紹了語音識別技術(shù)在移動電子商務(wù)安全中的應(yīng)用情況[4]；李丹丹等提出了一種基于模糊綜合評價法的指標評價體系,用于評價已有的移動電子商務(wù)身份認證方案的安全性[5]；張立新提出驗證碼技術(shù)主要包括圖片驗證碼、問題驗證碼、短信驗證碼、動作驗證碼等，同時初步研究了各類驗證碼的破解之策[6]。馬明陽提出Trust SMS系統(tǒng)通過利用ARM Trust Zone技術(shù),可以同時保證短信數(shù)據(jù)在傳輸過程中和在智能手機操作系統(tǒng)內(nèi)的安全性[7]。

綜上所述，目前國內(nèi)相關(guān)研究主要集中于兩方面，即移動電子商務(wù)的安全問題及基于不同安全技術(shù)的解決方案，而專門對短信驗證碼技術(shù)進行研究的文章還較少。本文擬在前人研究基礎(chǔ)上對當(dāng)前移動電子商務(wù)中的短信驗證碼技術(shù)所面臨的安全威脅問題進行研究，以期為促進移動電子商務(wù)的發(fā)展提供參考。

一、移動電子商務(wù)中的短信驗證碼安全技術(shù)

為保證移動電子商務(wù)過程的安全，特別是移動支付環(huán)節(jié)的安全，電子商務(wù)的服務(wù)供應(yīng)商通常會使用很多安全技術(shù)和措施，其中消費者能直接體驗的就是驗證碼技術(shù)。驗證碼(CAPTCHA)是全自動區(qū)分計算機和人類的圖靈測試(Completely Automated Public Turing test to tell Computers and Humans Apart)的縮寫。

常見的驗證碼技術(shù)包括web驗證碼和短信驗證碼兩大類[6]。Web驗證碼主要是用來防護系統(tǒng)的安全，主要是防止用戶端自動化輸入。由于電子商務(wù)系統(tǒng)與生俱來的信息化屬性，使得在用戶端可以利用自動化的腳本或者程序進行輸入，常見的如“秒殺”、“搶票”、“月餅門”等插件或小程序。在移動電子商務(wù)時代，由于用戶通常使用的是手機或者平板電腦之類的個人專屬性極強的終端，因此，電子商務(wù)的服務(wù)提供商往往默認使用這些APP的用戶一定是人而非腳本或者軟件，所以在移動電子商務(wù)領(lǐng)域web驗證碼出現(xiàn)的頻率相對較低，通常只是在賬戶登錄時才可能碰到。如果說web驗證碼是為了驗證用戶是人還是程序，那么短信驗證碼技術(shù)則主要是為了驗證是否為用戶本人[7]。

短信驗證碼技術(shù)的常見工作過程是用戶向服務(wù)端發(fā)送請求，服務(wù)端通過短信平臺向用戶發(fā)送一串系統(tǒng)生成的數(shù)字(驗證碼)，客戶在提交數(shù)據(jù)的時候填寫該驗證碼，服務(wù)端驗證客戶填寫的數(shù)字是否與發(fā)送給發(fā)出請求的客戶的數(shù)字一致。

短信驗證碼技術(shù)所基于的短信技術(shù)出現(xiàn)的比web驗證碼要早，但是在移動電子商務(wù)時代其驗證效果卻更好。首先，移動電子商務(wù)時代用戶天然地會使用手機號碼，使得短信驗證碼的大量應(yīng)用對用戶而言沒有成本，學(xué)習(xí)成本也比web驗證碼低；其次,一般而言，收短信并進行識別只能通過手機等移動終端實現(xiàn)，而這類移動終端運行的系統(tǒng)對普通用戶來說必須本人自己用手操作，而較難用程序進行；最后由于利用手機號碼的成本限制，一個用戶通常只有一到兩個號碼，基本可以保證用戶的唯一性。因此，短信驗證碼不但可以防范非法的腳本或程序的攻擊，在一定程度上還起到了驗證是否由客戶本人操作的作用，如表1所示。在目前的移動支付領(lǐng)域，短信驗證碼技術(shù)廣為流行，主要是因為其具有成本最低、最容易實現(xiàn)、預(yù)設(shè)基本靠譜；用戶綁定性較強，不需要額外設(shè)備；用戶廣泛擁有，校驗成本極低等優(yōu)勢。

表1 短信驗證碼技術(shù)的預(yù)設(shè)

二、短信驗證碼技術(shù)面臨的安全威脅

在移動電子商務(wù)高速發(fā)展的同時，安全技術(shù)面臨的威脅也從未消失。從表面上看，由于有很多電商的web端或者APP都有手機驗證功能，即使賬號密碼泄露，也不用擔(dān)心賬戶內(nèi)的資金或其他虛擬財產(chǎn)會有損失，但是由于手機系統(tǒng)自身的安全問題和短信驗證碼面臨的安全漏洞，在相關(guān)賬號密碼信息泄露的情況下，被他人盜取財產(chǎn)的可能性還是會存在。

(1) 智能手機平臺上的短信木馬和惡意軟件 目前智能手機系統(tǒng)面臨的安全問題主要是手機木馬和惡意軟件，在安卓系統(tǒng)中這些問題尤為明顯。由于安卓系統(tǒng)的開放性，且多數(shù)用戶都習(xí)慣于允許安裝第三方程序，使得安卓手機極易存在大量具有威脅性的應(yīng)用和服務(wù)。

對短信驗證碼體系威脅最大的是針對手機短信的木馬，一個不需要太高編程水平的人即可編寫出攔截并轉(zhuǎn)發(fā)短信的程序，而用戶很難察覺。通常這類木馬按照以下方式運行,如圖1所示：安卓系統(tǒng)的短信木馬程序具備開機自動運行功能，當(dāng)其自動運行后，會同步開啟Service服務(wù)(安卓的APP程序中的Service服務(wù)沒有用戶界面，沒有桌面快捷方式圖標，只在后臺執(zhí)行，并且可以被其他應(yīng)用組建啟動，當(dāng)用戶在執(zhí)行其他應(yīng)用時，Service還可以持續(xù)在后臺運行)，并利用service 的事件通知的管理功能Notification Manager檢查短信箱是否有內(nèi)容，如果有，會立即將短信轉(zhuǎn)發(fā)至木馬程序開發(fā)者所設(shè)定的手機號碼；之后再使用SmsObserver 進行短信監(jiān)聽，并通過“android.provider.Telephony.SMS_RECEIVED”獲取短信接收權(quán)限，如果有新短信，繼續(xù)轉(zhuǎn)發(fā)至木馬程序開發(fā)者所設(shè)定的手機號碼。

圖1 短信木馬的運行過程

這類安卓短信木馬程序通常利用“社會工程學(xué)”方式進行病毒式傳播，即在當(dāng)其傳播到一臺手機后，會對該手機通訊錄內(nèi)的全部對象進行群發(fā)短信，通常冠以“聚會照片”之類的名義迷惑受害人。目前由于安卓系統(tǒng)手機普及率較高，而多數(shù)用戶的安全知識還不足以辨別這類病毒，國內(nèi)感染手機病毒的用戶較多。這類傳播方式充分利用智能手機的特殊性，不僅可以運行傳統(tǒng)電子商務(wù)過程所需要的客戶端APP，還自帶天然的社交功能：通訊錄。通訊錄帶來的這種人際關(guān)系的信任，給手機木馬的傳播帶來了便利，用戶看到短信由信任的人發(fā)送過來，本能地容易相信其發(fā)來的內(nèi)容。根據(jù)360公司統(tǒng)計，僅2016年一年國內(nèi)就有1.08億臺安卓手機感染木馬病毒。

對用戶而言，當(dāng)信息泄露和被安裝短信木馬同時發(fā)生時，其電子商務(wù)賬號內(nèi)的財產(chǎn)就面臨著高威脅。試圖盜取用戶財產(chǎn)的不法分子，第一步收集泄露的用戶的用戶名、密碼、綁定手機等賬號信息，第二步在用戶的社交圈內(nèi)散播木馬病毒，第三步對被安裝了木馬病毒的用戶的賬號進行操作。由于被侵害的用戶手機被植入了木馬，不法分子登錄或進行財產(chǎn)操作時服務(wù)商發(fā)給用戶的驗證碼短信會被攔截并轉(zhuǎn)發(fā)給不法分子。這種盜取不一定由一個團伙完成，網(wǎng)絡(luò)上的許多犯罪行為早已分工為多個環(huán)節(jié)，形成“產(chǎn)業(yè)鏈”，給移動電子商務(wù)的安全帶來較高的威脅。

(2) 運營商或者服務(wù)商發(fā)生信息泄露 在大量使用短信驗證碼的同時，用戶必然在各大電子商務(wù)服務(wù)商處留下了自己的手機號碼。一旦這些手機號碼的運營商和服務(wù)商發(fā)生信息泄露，普通用戶的賬號信息，包括用戶名、密碼、手機號、電子郵箱等大量私人信息就會暴露于人前，被不法分子所利用。由于利益的驅(qū)動和服務(wù)商在安全防范上的不足，這類大規(guī)模的信息泄露屢屢發(fā)生。國內(nèi)已經(jīng)發(fā)生了多起大規(guī)模信息泄露事件，如京東在2017年3月被爆出涉及50億條公民信息泄露，這已經(jīng)是2016下半年京東因網(wǎng)站框架缺陷導(dǎo)致大規(guī)模用戶信息泄露以來第二次曝光的安全事件。據(jù)京東官方消息，涉嫌信息泄露的是2016年6月底入職京東、尚處于試用期的網(wǎng)絡(luò)工程師鄭某，他是黑色產(chǎn)業(yè)鏈團伙的重要成員，曾就職亞馬遜中國、百度和新浪微博從事網(wǎng)絡(luò)安全相關(guān)工作，長期與盜賣個人信息的犯罪團隊合作。2017年2月的求職高峰期，某同城網(wǎng)站被爆出大量簡歷信息泄露，購買者只需支付 700 元在淘寶上獲取一款名為信息采集器的軟件，即可通過賣家提供的賬號，不斷采集應(yīng)聘者的“姓名、手機號、求職方向、年齡、期望月薪、工作經(jīng)驗、居住地”等信息，軟件每小時可以采集數(shù)千份用戶數(shù)據(jù)。2016年10月的某郵箱泄露事件導(dǎo)致數(shù)億數(shù)據(jù)記錄泄露，造成了大量蘋果設(shè)備被“黑客”遠程加鎖并勒索。

(3) 補卡攻擊、克隆攻擊 短信驗證碼技術(shù)本質(zhì)上是基于手機號(SIM卡/運營商服務(wù))而不是智能手機設(shè)備，因此只要能辦一張和受害者相同的手機號(卡)，自然就能貍貓換太子，接收受害者的驗證碼，重置各類賬號。參考安卓系統(tǒng)手機綁定銀行卡易成為黑客“提款卡”，其主要的薄弱環(huán)節(jié)就在手機號碼運營商，部分地區(qū)的運營商對補卡人員身份驗證不嚴導(dǎo)致出現(xiàn)了補卡攻擊。在早些年SIM卡構(gòu)造簡單的時候甚至還能直接去克隆一張卡出來，但近幾年由于運營商加強了辦卡身份驗證，這種攻擊已經(jīng)在逐漸減少。

(4) 手機打碼平臺 電子商務(wù)運營平臺利用短信驗證碼技術(shù)和措施做用戶身份核驗，也不是萬無一失，同樣可能被別有用心者“薅羊毛”。國內(nèi)已經(jīng)出現(xiàn)了“手機打碼平臺”，專門提供手機短信驗證碼驗證“服務(wù)”，其利用卡商提供的海量手機號進行“人肉”或自動打碼服務(wù)。當(dāng)電子商務(wù)運營平臺開展促銷的活動時，“薅羊毛”者大量注冊用戶，利用“手機打碼平臺”解決電商平臺上出現(xiàn)的手機驗證碼。當(dāng)活動正式開始時，利用程序?qū)⒋黉N產(chǎn)品一掃而空，之后再以正常價格出售，以牟取利益。從流程上看，“薅羊毛”的過程對電商平臺來說，完全符合其活動流程。但是這種有組織的“薅羊毛”行為明顯會對電子商務(wù)運營平臺造成聲譽上的損失。

除此之外，短信驗證碼技術(shù)還會面臨一些其他的威脅，比如無線電監(jiān)聽。這里主要包括GSM監(jiān)聽(GSM Hacking 的SMS Sniffer)，包括監(jiān)聽空中短信，直接獲取短信內(nèi)容，但這個做法成本和范圍有限，用于真正犯罪的情況還比較少。

三、應(yīng)對策略

移動電子商務(wù)時代，作為重要安全措施之一的手機驗證碼，正面臨著信息泄露和手機木馬等威脅，為了減少這些威脅，使移動電子商務(wù)更好地發(fā)展，需要從多個方面著手。

1.電商平臺：加強對數(shù)據(jù)安全的保護，完善內(nèi)部管理制度

大量采集用戶信息的電商平臺，必須要采取有效措施保障這些信息的安全。根據(jù)在2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條，網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失；在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告[8]。

技術(shù)措施上，電商平臺首先要做的是控制數(shù)據(jù)的流向，根據(jù)必要性提供數(shù)據(jù)的查詢，平衡數(shù)據(jù)可用性與未授權(quán)數(shù)據(jù)的使用；其次是對重要數(shù)據(jù)段如密碼等進行加密存儲，保證數(shù)據(jù)即使流出也難以被直接使用；最后是要對用戶界面進行充分的檢查，避免出現(xiàn)數(shù)據(jù)庫注入之類的漏洞讓黑客利用。隨著大的電商平臺在數(shù)據(jù)安全技術(shù)上的逐步完善，不法分子逐步將目光轉(zhuǎn)向了這些公司在制度和管理上的漏洞。比如黑客團伙利用公司內(nèi)部的管理漏洞，通過入職電商平臺直接盜取大量的用戶數(shù)據(jù)，因此電商平臺也急需加強招聘環(huán)節(jié)審查，不斷完善內(nèi)部管理制度。

2.用戶：增強對手機系統(tǒng)安全威脅的認知，養(yǎng)成良好使用習(xí)慣

智能手機，特別是相對容易被植入木馬的安卓系統(tǒng)手機近些年在國內(nèi)快速的普及，其早已不是科技達人的專屬，而是為普通大眾所用。在我國這一人口龐大的國家，有一半以上的人使用智能手機上網(wǎng)，給移動電子商務(wù)的發(fā)展奠定了關(guān)鍵的基礎(chǔ)，但是其使用安全的問題卻相對被忽視。多數(shù)用戶只知道如何安裝和使用手機APP，而缺乏鑒別其安裝的APP可靠性和安全性的能力。

普及手機安全使用的知識，培養(yǎng)用戶識別手機木馬的能力，養(yǎng)成正確的智能手機使用習(xí)慣，需要社會的多方努力，政府、智能手機廠商、電商平臺都應(yīng)該加強這方面的宣傳工作。

3.服務(wù)商：增加智能碼等驗證方式，不斷完善安全技術(shù)

在移動電子商務(wù)發(fā)展的過程中，短信驗證碼因為其實現(xiàn)較為容易，能起到良好的驗證效果，而被廣泛使用。但是也應(yīng)該看到，短信驗證碼技術(shù)和措施依托的短信技術(shù)出現(xiàn)的時代較早，因此存在著一定的漏洞，不但可能造成普通用戶的財產(chǎn)損失，而且對電子商務(wù)運營平臺也可能造成損失。對移動電子商務(wù)而言，除了web驗證碼和手機驗證碼之外，還需要新的驗證方式。

自蘋果發(fā)布iPhone5s后，指紋識別逐步成為了智能手機的標配，目前已經(jīng)有不少移動電子商務(wù)平臺已經(jīng)支持指紋驗證，客觀上提升了交易等電子商務(wù)活動的安全。但是并不是所有智能手機都有指紋識別裝置，這種驗證方式普及還需要時日。

移動電子商務(wù)還需要其他的驗證方式。智能手機除了有手機號外，還有自身的序列號等唯一的識別編碼，同時智能手機廠商也具有向智能手機推送系統(tǒng)更新的能力。從技術(shù)上說，智能手機廠商是具備向智能手機用戶發(fā)送驗證碼的能力的。同時這種驗證碼的形式可以不限于數(shù)字，可以類似web驗證碼，也可以是聲音或者視頻，甚至可以和用戶采用互動的方式。從流程上說這種“智能碼”驗證方式和手機短信驗證碼方式非常類似：電子商務(wù)平臺將需要驗證的內(nèi)容發(fā)送給智能手機廠商，智能手機廠商通過自身的系統(tǒng)將其轉(zhuǎn)化成合適的形式通過驗證碼系統(tǒng)發(fā)送給用戶，用戶填寫后發(fā)送給電子商務(wù)平臺。這種“智能碼”驗證方式的本質(zhì)是智能手機廠商替代通訊運營商作為驗證過程中的第三方?！爸悄艽a”的發(fā)送過程、數(shù)據(jù)通訊過程、傳輸過程都運行在系統(tǒng)內(nèi)層，這使得運行在外層的手機木馬不容易截獲相關(guān)信息，大大提升了系統(tǒng)的安全性。

隨著智能手機為主的移動設(shè)備進一步普及，人們的消費、交易、支付習(xí)慣將越來越離開臺式機和筆記本，移動電子商務(wù)的巨大發(fā)展前景是不言而喻的，市場蛋糕也將逐漸增大。而任何一種移動電子商務(wù)模式都無法回避安全問題，移動電子商務(wù)參與的各方應(yīng)通力合作，盡快推動相應(yīng)的新規(guī)則建設(shè)，以功能與產(chǎn)品監(jiān)管規(guī)則為核心，不斷完善和改進移動支付安全技術(shù)，確保移動電子商務(wù)安全健康發(fā)展。

[1] 中國互聯(lián)網(wǎng)信息中心.中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[EB/OL].(2017-01-22)[2017-06-10]. http://www.cnnic.net.cn/gywm/xwzx/rdxw/20172017/201701/t20170122_66448.htm.

[2] 郭寶丹.移動電子商務(wù)的安全問題及對策探索[J].產(chǎn)業(yè)與科技論壇,2015 (15):46-47.

[3] 車念,趙士元,丁莎. 融合多重加解密算法的保密通信系統(tǒng)[J].計算機工程與設(shè)計,2017(4):936-940.

[4] 鐘遠濤.移動電子商務(wù)安全對語音識別技術(shù)的應(yīng)用[J].商場現(xiàn)代化, 2015(3):82.

[5] 李丹丹,華蕊.基于模糊綜合評價法的移動商務(wù)身份認證評價[J].微電子學(xué)與計算機,2016 (3):65-68.

[6] 張立新.多種類型驗證碼的研究與分析[J].福建電腦, 2016 (10):76，125.

[7] 馬明陽.基于可信硬件的智能手機短信加密方案[J].計算機與現(xiàn)代化, 2016(4):29-35.

[8] 中華人民共和國工業(yè)和信息化部. 中華人民共和國網(wǎng)絡(luò)安全法[EB/OL].(2016-11-08)[2017-01-10].http://www.miit.gov.cn/n1146295/n1146557/n1146614/c5345009/content.html.

Research on Security Threats of SMS Verification Code Based on Mobile E-commerce

FAN Min, CHEN Lei

(College of Economics and Management, Hefei Normal University, Hefei 230601, China)

With the emergence of security problem of mobile e-commerce, the SMS verification code technology, which is a common solution, is facing some security threats such as the SMS Trojans and malware, card information leak of operators or service providers, re-card attack and clone attack, mobile phone platform code and so on. In this paper, some strategies are proposed to solve these problems. It is pointed out that the electronic business platform should strengthen the protection of data safety, the users should enhance the awareness of security threats of mobile phone system, and the service providers should introduce the intelligent code verification mode.

SMS verification code; SMS Trojans; information leak

2017-07-05

安徽省2015年高校人文社科項目(sk2015a464)；合肥市2016年度社科規(guī)劃項目(2016-015);合肥師范學(xué)院2015年度縣校產(chǎn)學(xué)研合作項目(cxyhzsk011)

范 敏(1986-)，女，安徽安慶人，講師。

C931.6

A

1008-3634(2017)05-0037-05

(責(zé)任編輯 謝媛媛)