范 敏， 陈 磊

(合肥师范学院 经济与管理学院，合肥 230601)

移动电子商务中的短信验证码安全威胁问题研究

范 敏， 陈 磊

(合肥师范学院 经济与管理学院，合肥 230601)

随着移动电子商务安全问题的凸显，作为常见解决方案的短信验证码技术面临着短信木马和恶意软件、运营商或者服务商发生信息泄露、补卡攻击和克隆攻击、手机打码平台等安全威胁。针对上述问题，文章分别从电商平台、用户和服务商角度提出了加强对数据安全的保护、增强对手机系统安全威胁的认知和增加智能码验证方式等应对策略。

短信验证码；短信木马；信息泄露

近年来随着我国移动电子商务持续高速发展，截至2016年12月，我国手机网民规模达6.95亿，增长率连续三年超过10%;使用手机网上支付用户规模增长迅速，达到4.69亿，年增长率为31.2%;网民手机网上支付的使用比例由57.7%提升至67.5%，其中有50.3%的网民在线下实体店购物时使用手机支付结算[1]。伴随着这一趋势，O2O、共享经济等依托移动支付的一大批线下应用迅速崛起。而在移动支付快速发展的过程中难以回避的首要问题就是安全问题，支付安全性是许多消费者是否选择移动支付的核心因素。

目前国内学术界对移动电子商务安全问题做了大量研究：郭宝丹等针对移动电子商务的安全与解决措施等方面进行了论述,并提出为了更好地解决移动电子商务中出现的潜在威胁,需要不断增强TCP/IP的安全[2]；车念等针对移动电子商务中的信息安全需求,提出一种融合AES、RSA和CPRS混沌3种加解密方式的保密通信系统[3]；钟远涛以移动电子商务存在的安全问题为视角,介绍了语音识别技术在移动电子商务安全中的应用情况[4]；李丹丹等提出了一种基于模糊综合评价法的指标评价体系,用于评价已有的移动电子商务身份认证方案的安全性[5]；张立新提出验证码技术主要包括图片验证码、问题验证码、短信验证码、动作验证码等，同时初步研究了各类验证码的破解之策[6]。马明阳提出Trust SMS系统通过利用ARM Trust Zone技术,可以同时保证短信数据在传输过程中和在智能手机操作系统内的安全性[7]。

综上所述，目前国内相关研究主要集中于两方面，即移动电子商务的安全问题及基于不同安全技术的解决方案，而专门对短信验证码技术进行研究的文章还较少。本文拟在前人研究基础上对当前移动电子商务中的短信验证码技术所面临的安全威胁问题进行研究，以期为促进移动电子商务的发展提供参考。

一、移动电子商务中的短信验证码安全技术

为保证移动电子商务过程的安全，特别是移动支付环节的安全，电子商务的服务供应商通常会使用很多安全技术和措施，其中消费者能直接体验的就是验证码技术。验证码(CAPTCHA)是全自动区分计算机和人类的图灵测试(Completely Automated Public Turing test to tell Computers and Humans Apart)的缩写。

常见的验证码技术包括web验证码和短信验证码两大类[6]。Web验证码主要是用来防护系统的安全，主要是防止用户端自动化输入。由于电子商务系统与生俱来的信息化属性，使得在用户端可以利用自动化的脚本或者程序进行输入，常见的如“秒杀”、“抢票”、“月饼门”等插件或小程序。在移动电子商务时代，由于用户通常使用的是手机或者平板电脑之类的个人专属性极强的终端，因此，电子商务的服务提供商往往默认使用这些APP的用户一定是人而非脚本或者软件，所以在移动电子商务领域web验证码出现的频率相对较低，通常只是在账户登录时才可能碰到。如果说web验证码是为了验证用户是人还是程序，那么短信验证码技术则主要是为了验证是否为用户本人[7]。

短信验证码技术的常见工作过程是用户向服务端发送请求，服务端通过短信平台向用户发送一串系统生成的数字(验证码)，客户在提交数据的时候填写该验证码，服务端验证客户填写的数字是否与发送给发出请求的客户的数字一致。

短信验证码技术所基于的短信技术出现的比web验证码要早，但是在移动电子商务时代其验证效果却更好。首先，移动电子商务时代用户天然地会使用手机号码，使得短信验证码的大量应用对用户而言没有成本，学习成本也比web验证码低；其次,一般而言，收短信并进行识别只能通过手机等移动终端实现，而这类移动终端运行的系统对普通用户来说必须本人自己用手操作，而较难用程序进行；最后由于利用手机号码的成本限制，一个用户通常只有一到两个号码，基本可以保证用户的唯一性。因此，短信验证码不但可以防范非法的脚本或程序的攻击，在一定程度上还起到了验证是否由客户本人操作的作用，如表1所示。在目前的移动支付领域，短信验证码技术广为流行，主要是因为其具有成本最低、最容易实现、预设基本靠谱；用户绑定性较强，不需要额外设备；用户广泛拥有，校验成本极低等优势。

表1 短信验证码技术的预设

二、短信验证码技术面临的安全威胁

在移动电子商务高速发展的同时，安全技术面临的威胁也从未消失。从表面上看，由于有很多电商的web端或者APP都有手机验证功能，即使账号密码泄露，也不用担心账户内的资金或其他虚拟财产会有损失，但是由于手机系统自身的安全问题和短信验证码面临的安全漏洞，在相关账号密码信息泄露的情况下，被他人盗取财产的可能性还是会存在。

(1) 智能手机平台上的短信木马和恶意软件 目前智能手机系统面临的安全问题主要是手机木马和恶意软件，在安卓系统中这些问题尤为明显。由于安卓系统的开放性，且多数用户都习惯于允许安装第三方程序，使得安卓手机极易存在大量具有威胁性的应用和服务。

对短信验证码体系威胁最大的是针对手机短信的木马，一个不需要太高编程水平的人即可编写出拦截并转发短信的程序，而用户很难察觉。通常这类木马按照以下方式运行,如图1所示：安卓系统的短信木马程序具备开机自动运行功能，当其自动运行后，会同步开启Service服务(安卓的APP程序中的Service服务没有用户界面，没有桌面快捷方式图标，只在后台执行，并且可以被其他应用组建启动，当用户在执行其他应用时，Service还可以持续在后台运行)，并利用service 的事件通知的管理功能Notification Manager检查短信箱是否有内容，如果有，会立即将短信转发至木马程序开发者所设定的手机号码；之后再使用SmsObserver 进行短信监听，并通过“android.provider.Telephony.SMS_RECEIVED”获取短信接收权限，如果有新短信，继续转发至木马程序开发者所设定的手机号码。

图1 短信木马的运行过程

这类安卓短信木马程序通常利用“社会工程学”方式进行病毒式传播，即在当其传播到一台手机后，会对该手机通讯录内的全部对象进行群发短信，通常冠以“聚会照片”之类的名义迷惑受害人。目前由于安卓系统手机普及率较高，而多数用户的安全知识还不足以辨别这类病毒，国内感染手机病毒的用户较多。这类传播方式充分利用智能手机的特殊性，不仅可以运行传统电子商务过程所需要的客户端APP，还自带天然的社交功能：通讯录。通讯录带来的这种人际关系的信任，给手机木马的传播带来了便利，用户看到短信由信任的人发送过来，本能地容易相信其发来的内容。根据360公司统计，仅2016年一年国内就有1.08亿台安卓手机感染木马病毒。

对用户而言，当信息泄露和被安装短信木马同时发生时，其电子商务账号内的财产就面临着高威胁。试图盗取用户财产的不法分子，第一步收集泄露的用户的用户名、密码、绑定手机等账号信息，第二步在用户的社交圈内散播木马病毒，第三步对被安装了木马病毒的用户的账号进行操作。由于被侵害的用户手机被植入了木马，不法分子登录或进行财产操作时服务商发给用户的验证码短信会被拦截并转发给不法分子。这种盗取不一定由一个团伙完成，网络上的许多犯罪行为早已分工为多个环节，形成“产业链”，给移动电子商务的安全带来较高的威胁。

(2) 运营商或者服务商发生信息泄露 在大量使用短信验证码的同时，用户必然在各大电子商务服务商处留下了自己的手机号码。一旦这些手机号码的运营商和服务商发生信息泄露，普通用户的账号信息，包括用户名、密码、手机号、电子邮箱等大量私人信息就会暴露于人前，被不法分子所利用。由于利益的驱动和服务商在安全防范上的不足，这类大规模的信息泄露屡屡发生。国内已经发生了多起大规模信息泄露事件，如京东在2017年3月被爆出涉及50亿条公民信息泄露，这已经是2016下半年京东因网站框架缺陷导致大规模用户信息泄露以来第二次曝光的安全事件。据京东官方消息，涉嫌信息泄露的是2016年6月底入职京东、尚处于试用期的网络工程师郑某，他是黑色产业链团伙的重要成员，曾就职亚马逊中国、百度和新浪微博从事网络安全相关工作，长期与盗卖个人信息的犯罪团队合作。2017年2月的求职高峰期，某同城网站被爆出大量简历信息泄露，购买者只需支付 700 元在淘宝上获取一款名为信息采集器的软件，即可通过卖家提供的账号，不断采集应聘者的“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地”等信息，软件每小时可以采集数千份用户数据。2016年10月的某邮箱泄露事件导致数亿数据记录泄露，造成了大量苹果设备被“黑客”远程加锁并勒索。

(3) 补卡攻击、克隆攻击 短信验证码技术本质上是基于手机号(SIM卡/运营商服务)而不是智能手机设备，因此只要能办一张和受害者相同的手机号(卡)，自然就能狸猫换太子，接收受害者的验证码，重置各类账号。参考安卓系统手机绑定银行卡易成为黑客“提款卡”，其主要的薄弱环节就在手机号码运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。在早些年SIM卡构造简单的时候甚至还能直接去克隆一张卡出来，但近几年由于运营商加强了办卡身份验证，这种攻击已经在逐渐减少。

(4) 手机打码平台 电子商务运营平台利用短信验证码技术和措施做用户身份核验，也不是万无一失，同样可能被别有用心者“薅羊毛”。国内已经出现了“手机打码平台”，专门提供手机短信验证码验证“服务”，其利用卡商提供的海量手机号进行“人肉”或自动打码服务。当电子商务运营平台开展促销的活动时，“薅羊毛”者大量注册用户，利用“手机打码平台”解决电商平台上出现的手机验证码。当活动正式开始时，利用程序将促销产品一扫而空，之后再以正常价格出售，以牟取利益。从流程上看，“薅羊毛”的过程对电商平台来说，完全符合其活动流程。但是这种有组织的“薅羊毛”行为明显会对电子商务运营平台造成声誉上的损失。

除此之外，短信验证码技术还会面临一些其他的威胁，比如无线电监听。这里主要包括GSM监听(GSM Hacking 的SMS Sniffer)，包括监听空中短信，直接获取短信内容，但这个做法成本和范围有限，用于真正犯罪的情况还比较少。

三、应对策略

移动电子商务时代，作为重要安全措施之一的手机验证码，正面临着信息泄露和手机木马等威胁，为了减少这些威胁，使移动电子商务更好地发展，需要从多个方面着手。

1.电商平台：加强对数据安全的保护，完善内部管理制度

大量采集用户信息的电商平台，必须要采取有效措施保障这些信息的安全。根据在2017年6月1日实施的《中华人民共和国网络安全法》第四十二条，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告[8]。

技术措施上，电商平台首先要做的是控制数据的流向，根据必要性提供数据的查询，平衡数据可用性与未授权数据的使用；其次是对重要数据段如密码等进行加密存储，保证数据即使流出也难以被直接使用；最后是要对用户界面进行充分的检查，避免出现数据库注入之类的漏洞让黑客利用。随着大的电商平台在数据安全技术上的逐步完善，不法分子逐步将目光转向了这些公司在制度和管理上的漏洞。比如黑客团伙利用公司内部的管理漏洞，通过入职电商平台直接盗取大量的用户数据，因此电商平台也急需加强招聘环节审查，不断完善内部管理制度。

2.用户：增强对手机系统安全威胁的认知，养成良好使用习惯

智能手机，特别是相对容易被植入木马的安卓系统手机近些年在国内快速的普及，其早已不是科技达人的专属，而是为普通大众所用。在我国这一人口庞大的国家，有一半以上的人使用智能手机上网，给移动电子商务的发展奠定了关键的基础，但是其使用安全的问题却相对被忽视。多数用户只知道如何安装和使用手机APP，而缺乏鉴别其安装的APP可靠性和安全性的能力。

普及手机安全使用的知识，培养用户识别手机木马的能力，养成正确的智能手机使用习惯，需要社会的多方努力，政府、智能手机厂商、电商平台都应该加强这方面的宣传工作。

3.服务商：增加智能码等验证方式，不断完善安全技术

在移动电子商务发展的过程中，短信验证码因为其实现较为容易，能起到良好的验证效果，而被广泛使用。但是也应该看到，短信验证码技术和措施依托的短信技术出现的时代较早，因此存在着一定的漏洞，不但可能造成普通用户的财产损失，而且对电子商务运营平台也可能造成损失。对移动电子商务而言，除了web验证码和手机验证码之外，还需要新的验证方式。

自苹果发布iPhone5s后，指纹识别逐步成为了智能手机的标配，目前已经有不少移动电子商务平台已经支持指纹验证，客观上提升了交易等电子商务活动的安全。但是并不是所有智能手机都有指纹识别装置，这种验证方式普及还需要时日。

移动电子商务还需要其他的验证方式。智能手机除了有手机号外，还有自身的序列号等唯一的识别编码，同时智能手机厂商也具有向智能手机推送系统更新的能力。从技术上说，智能手机厂商是具备向智能手机用户发送验证码的能力的。同时这种验证码的形式可以不限于数字，可以类似web验证码，也可以是声音或者视频，甚至可以和用户采用互动的方式。从流程上说这种“智能码”验证方式和手机短信验证码方式非常类似：电子商务平台将需要验证的内容发送给智能手机厂商，智能手机厂商通过自身的系统将其转化成合适的形式通过验证码系统发送给用户，用户填写后发送给电子商务平台。这种“智能码”验证方式的本质是智能手机厂商替代通讯运营商作为验证过程中的第三方。“智能码”的发送过程、数据通讯过程、传输过程都运行在系统内层，这使得运行在外层的手机木马不容易截获相关信息，大大提升了系统的安全性。

随着智能手机为主的移动设备进一步普及，人们的消费、交易、支付习惯将越来越离开台式机和笔记本，移动电子商务的巨大发展前景是不言而喻的，市场蛋糕也将逐渐增大。而任何一种移动电子商务模式都无法回避安全问题，移动电子商务参与的各方应通力合作，尽快推动相应的新规则建设，以功能与产品监管规则为核心，不断完善和改进移动支付安全技术，确保移动电子商务安全健康发展。

[1] 中国互联网信息中心.中国互联网络发展状况统计报告[EB/OL].(2017-01-22)[2017-06-10]. http://www.cnnic.net.cn/gywm/xwzx/rdxw/20172017/201701/t20170122_66448.htm.

[2] 郭宝丹.移动电子商务的安全问题及对策探索[J].产业与科技论坛,2015 (15):46-47.

[3] 车念,赵士元,丁莎. 融合多重加解密算法的保密通信系统[J].计算机工程与设计,2017(4):936-940.

[4] 钟远涛.移动电子商务安全对语音识别技术的应用[J].商场现代化, 2015(3):82.

[5] 李丹丹,华蕊.基于模糊综合评价法的移动商务身份认证评价[J].微电子学与计算机,2016 (3):65-68.

[6] 张立新.多种类型验证码的研究与分析[J].福建电脑, 2016 (10):76，125.

[7] 马明阳.基于可信硬件的智能手机短信加密方案[J].计算机与现代化, 2016(4):29-35.

[8] 中华人民共和国工业和信息化部. 中华人民共和国网络安全法[EB/OL].(2016-11-08)[2017-01-10].http://www.miit.gov.cn/n1146295/n1146557/n1146614/c5345009/content.html.

Research on Security Threats of SMS Verification Code Based on Mobile E-commerce

FAN Min, CHEN Lei

(College of Economics and Management, Hefei Normal University, Hefei 230601, China)

With the emergence of security problem of mobile e-commerce, the SMS verification code technology, which is a common solution, is facing some security threats such as the SMS Trojans and malware, card information leak of operators or service providers, re-card attack and clone attack, mobile phone platform code and so on. In this paper, some strategies are proposed to solve these problems. It is pointed out that the electronic business platform should strengthen the protection of data safety, the users should enhance the awareness of security threats of mobile phone system, and the service providers should introduce the intelligent code verification mode.

SMS verification code; SMS Trojans; information leak

2017-07-05

安徽省2015年高校人文社科项目(sk2015a464)；合肥市2016年度社科规划项目(2016-015);合肥师范学院2015年度县校产学研合作项目(cxyhzsk011)

范 敏(1986-)，女，安徽安庆人，讲师。

C931.6

A

1008-3634(2017)05-0037-05

(责任编辑 谢媛媛)