发布时间:2025.06.16
源地址:https://www.bloomberg.com/news/articles/2025-06-16/two-factor-authentication-codes-take-insecure-path-to-users
一项针对全球电信系统复杂性的调查显示,通过短信发送的秘密代码传输存在漏洞。
总结:
验证码路径复杂且不透明
各大平台(如 Google、Meta、Amazon、Signal 等)的短信验证码并不会直接发送给用户。而是通过一连串承包商和转发中间商运行所谓的“最低成本路由”处理,并非由运营商直发
接收者无法得知这些中间人是谁,也不知道究竟有多少环节处理了验证码。
2. 中间节点可能查看或获取验证码
任何接入传输链的中介机构都有机会查看短信内容,甚至储存或滥用数据。
报道中提到瑞士一家公司 Fink Telecom Services,就曾处理过数百万条来自大型科技公司、金融机构、加密交易平台、约会网站以及聊天应用的登录验证码。
3. SMS 验证码可能不是“多因素”,而是“单点失败”
虽然验证码提示“请勿泄露”,但它们在发送过程中可能已经被诸多中间人获取,因此真正的安全保障严重缺失。
此外,有业界人士指出,短信验证码不再具备真正意义上的多因素验证,而事实上成了单点失效的隐患。
4. 更安全的替代方案建议
专家建议杜绝使用 SMS 验证码这一方法,改用身份验证器(Authenticator App)、生物认证、FIDO2 安全密钥等更安全的方式。
英国已有监管颁布措施禁止使用不透明中介路线发送安全验证码。
每天,数以百万计的人登录电子邮件、银行应用或社交媒体账户时,都会输入密码和通过短信收到的一次性登录验证码。这些验证码通常附带一条警告:“请勿与他人分享。”然而,收到这些警告的人无法知道在验证码送达他们之前,是否有人已经看过。
当公司生成所谓的双因素认证代码时,几乎从不直接发送这些信息。相反,他们会将这项工作外包,让代码经过一系列中间环节,最终到达目的地。由于短信(SMS)这一已有数十年历史的技术标准存在固有的安全漏洞,处理这些信息的相关方有可能查看其内容。但系统的复杂性意味着,无论是发送方还是接收方,都无法确切知道信息在传递过程中经过了哪些环节。
一位行业内部举报人向彭博商业周刊和调查新闻机构 Lighthouse Reports 提供了一批非公开的电话网络数据,涉及约 100 万条于 2023 年 6 月发送的携带双因素认证代码的短信。这些短信均经过一家名为 Fink Telecom Services 的瑞士鲜为人知的公司。该公司及其创始人曾与政府间谍机构和监控行业承包商合作,监控手机并追踪用户位置。网络安全研究人员和调查记者发布的报告指控 Fink 涉及多起渗透私人在线账户的事件。
这些数据包括带有自动生成登录验证码的消息,以及消息传递到最终目的地所经过的路径。发送方涵盖了谷歌、Meta 和亚马逊等公司,数家欧洲银行,热门应用如 Tinder 和 Snapchat,加密货币交易所币安,以及加密聊天平台 Signal 和 WhatsApp。消息的预期接收者分布在五大洲的 100 多个国家。
提供这些数据的人要求匿名,以避免报复。《商业周刊》通过与独立专家共同审查记录,并将其中部分内容与其他公开数据进行交叉核对,验证了这些记录的真实性。
鉴于这些涉嫌与安全漏洞相关的联系,数据显示芬克仍能访问此类信息,隐私专家帕特·沃尔什表示:“这令人震惊,充分说明了为什么企业不应通过短信发送账户认证或登录验证码。科技公司在自身供应链的尽职调查方面做得远远不够。”
芬克电信首席执行官安德烈亚斯·芬克在与《商业周刊》的邮件交流中表示,法律限制公司查看其处理的信息内容。“我们公司提供基础设施和技术服务,包括信令和路由功能,”他写道。“我们不分析也不干涉客户或其下游合作伙伴传输的流量。”他还表示,公司已不再从事监控业务。
像 Fink 公司的中介机构通过构建技术平台并与大量电信运营商谈判,提供更高效、更低成本的短信传递方式。市场研究公司 Mobilesquared 创始人 Nick Lane 表示,该行业在 2024 年的市场规模超过 300 亿美元。行业内的领先企业中,有些是上市公司,它们与规模较小、知名度较低的公司竞争。同时,这些大公司有时也会将业务分包给这些小型供应商,后者在向某些国家发送短信时可能能提供更优惠的价格,或者再将业务分包给另一层公司。
这个复杂的行业可以为发送信息的公司节省时间和资金。但一些安全专家认为,这种结构内在的权衡是鲁莽的,因为如果落入不法之手,信息内容可能被用来入侵人们的电子邮件或私人信息。
电信防御有限公司首席安全顾问让·戈特沙克表示,缺乏监管会增加风险。“没有任何规定阻止任何人从事这项工作;运营不需要任何许可证,”他说。“一家公司很快就可能处理数十亿条信息。”
一位前思科系统公司现场工程师芬克于 2016 年创办了自己的公司。尽管公司规模不大,员工不足 10 人,但它已成功与对多种技术监控感兴趣的政府承包商达成合作。
芬克表示,他无法确认或否认双因素认证代码是否通过了他的网络。当被展示《商业周刊》审查过的数据样本时,他拒绝核实,称这些数据“可能是非法获取的,甚至可能被篡改”。
芬克电信业务的一个关键部分是与国际移动运营商签订的使用“全球号码”的合同。这些号码相当于电信之间的电话号码,使持有者能够向其他国家的移动网络发送信息。除了用于自身运营外,电信公司还可以通过将这些全球号码租赁给像芬克这样的运营商来获得额外收入。
芬克电信根据《商业周刊》审阅的数据,曾拥有或租赁过位于瑞士、英国、纳米比亚以及俄罗斯车臣等地的电信公司全球号码资源。芬克拒绝对其公司租赁的全球号码资源发表评论,但他将这一做法描述为“行业内普遍认可且常见的模式”。
这可能有些夸张。作为电信行业组织的 GSMA 在 2023 年发布了一份行为准则,指出应“避免全球号码租赁,优先探索满足合法业务需求的其他方案”。但该准则属于自愿遵守,全球号码租赁交易在许多地区依然存在。今年四月,英国监管机构禁止本国电信公司租赁全球号码,警告称此行为被滥用,可能助长犯罪分子截获安全验证码。
安全专家将芬克与通过截取短信发送的安全代码以入侵账户的事件联系在一起。自 2020 年起,时任特拉维夫网络安全公司潘多拉安全(Pandora Security)负责人扎克·加诺特(Zack Ganot)调查了一系列针对加密货币投资者的攻击事件,黑客通过获取身份验证代码,访问了约 20 名以色列人的电子邮件和加密货币账户。加诺特与一家以色列电信运营商合作调查此次安全漏洞,最终得出结论:由芬克创立的另一家公司 SMSRelay 注册的全球域名操纵了以色列的电信流量,从而获取了投资者的登录代码。加诺特将调查结果报告给了瑞士当局,但表示未收到任何后续回应。
芬克否认参与此次泄露事件,称 SMSRelay 已于 2016 年停止运营并拆除了其基础设施。根据《商业周刊》审查的数据,注册在 SMSRelay 名下的全球域名一直活跃到 2023 年,但芬克表示,任何对这些全球域名的滥用“并非源自我们”。
2023 年,以色列《哈雷茨报》对“乔治团队”展开调查,该团队是一支受雇黑客组织,向各国政府提供秘密操控社交媒体以及拦截电子邮件、Telegram 消息和其他网络通信的能力。报道称,Fink Telecom 协助“乔治团队”接入手机网络,以监控手机用户。Fink 表示他与“乔治团队”无关,解释称他曾合作的一家公司“间接为该团队提供服务”,随后他已与该公司断绝关系。
芬克的解释凸显了该行业的另一大漏洞:多层承包使得信息传递过程变得不透明。芬克主要是一个分包商,与产生原始信息的公司没有直接关系,这使得这些公司如果觉得不安,无法通过简单的方式停止与芬克的合作。
谷歌、Meta、Signal 和币安在声明中表示,他们并未与 Fink Telecom 直接合作。谷歌发言人称,短信存在“许多挑战和安全问题”,并指出公司正在逐步减少使用短信进行账户认证。Signal 发言人表示,公司提供了多种保护措施以防范短信漏洞,例如要求在新设备上重新注册账户时,除了短信验证码外,还需输入 PIN 码。Meta Platforms Inc. 发言人表示,公司已提醒合作伙伴履行合同义务,确保向 Meta 用户发送短信时的隐私和安全,并已通知合作伙伴在为 Meta 或其任何关联公司提供服务时,不得分包或以其他方式与 Fink Telecom 合作。
亚马逊、Snapchat 和 Tinder 未回应置评请求。
短信消息固有的不安全性已被广泛记录,一些公司正在推动用户转向其他替代方案。电子前沿基金会(Electronic Frontier Foundation)网络安全主管 Eva Galperin 鼓励人们采用其他账户认证方式,比如生物识别验证或专用的认证器应用程序,这类应用在用户手机的软件内生成验证码,而非通过不安全的电话网络发送。今年二月,谷歌宣布 Gmail 将逐步停止使用短信进行安全和反垃圾邮件验证,转而要求用户登录时扫描二维码。
芬克也承认了安全隐患。他表示,产生双因素认证代码的机构应对这些漏洞负责,而这些机构随后又依赖像短信这样不安全的传输技术将代码发送给用户。“如果公司选择通过不安全的短信发送敏感信息,”他写道,“这是一个已知的风险。”