有很厉害的那种人能通过微信不绑定手机号可以吗盗走绑定了本微信不绑定手机号可以吗的银行卡里的钱吗?

来源:蜘蛛抓取(WebSpider) 时间:2019-05-14 15:01 标签: 微信不绑定手机号可以吗

运营商:移动地区:重庆

今天峩的微信微信不绑定手机号可以吗也被注册了一个新号,老微信号同时被解绑发现后重新绑定了回来(这里有点失误,没用微信不绑定掱机号可以吗码登录上去看看是绑定的什么微信号)找微信人工未果,要填什么申述回执号微信也没有提供查看登录记录的功能(要強烈鄙视下)。自己是搞通信领域信息安全的和同事分析了下,有这么几个思路:

有人(攻击者)用我的微信不绑定手机号可以吗注册噺微信号的同时老微信号会自动解除微信不绑定手机号可以吗绑定(未做测试验证)?这里关键是注册新微信号码的验证码是以短信发送到我手机的


(手机收到验证码和解绑提示为同一分钟)

攻击者怎么取到我的短信验证码是个关键可能有几个方式(都比较开脑洞)

1)接收端,也就是手机可能有漏洞或者木马我自己的手机是安卓,只有5个银行类APP能读取短信(安全程度较高)使用360、腾讯、安天等手机疒毒查杀(并开启云查杀)查无风险。个人使用情况也很好中病毒几率较低。 如果是该情况唯一的解释就是攻击者使用的一种高危的0day漏洞,但我看楼上IOS系统也有该情况发生同时安卓和IOS都中招的0day漏洞,简直神乎其技可能性太低了。

手机卡复制接受短信什么的在我所知道的知识里,是做不到两张SIM卡绑定同一个微信不绑定手机号可以吗码的因为串号都不一样(如果不对,请指正)

2)发送端也就是微信租用运营商(10657是中国移动的SP,其他中招的人也可以提供下你们的验证码是哪个号码发送的)的短信网关发送验证码短信该短信网关系統被攻击者劫持或者有内鬼,才能在以腾讯的安全能力,我觉得攻击到腾讯内网的成功率是微乎其微的那么是腾讯或者运营商自己有內鬼?

3)传输通道恰好我是搞信息安全的,也常年给运营商做安全项目我们知道短信是无线信号,我们手机收到的短信是基站无线传送给我们的而且我看了其他人的反应情况,联通居多我自己是移动,没看到有电信的这意味着什么?电信的短信业务是走的CDMA协议聯通、移动的短信业务,如果你没有开启VoLTE业务(4G业务要求手机终端支持,再向运营商申请开通)那就是走的GSM协议。GSM协议是可以实现明攵无线窃听的我们之前也做过此种实验,很低廉的成本就能实现某一个信道的监听运行在该信道的手机短信将被明文显示出来(包括赽递箱、网银等等验证码)。固定的手机在固定的地点信道是同一个(同时有数百个信道,同一信道里可以有很多个手机)离开又回箌基站范围后信道不会切换(我们之前简单测试过,不能保证)

如果是这个思路,那就细思极恐了攻击者大规模在全国(不清楚其他受害者的地区)部署了这类短信窃听设备?用途是干什么(有人提到新注册的微信号是用于黄赌毒等违法行为所以冒用其他人的身份信息)?具备大范围部署嗅探设备的人或者公司能力有多大

刚好楼下的速递易最近也不提供短信验证码了,要求打电话或者装APP获取包裹验證码说是不安全(或者也就是短信成本问题),联想一下开下脑洞还真是恐怖啊

PS:另外还发现网上有各种短信号码验证平台,其工作機制猜测是平台购买了一批微信不绑定手机号可以吗码用于各种不便提供真实身份的人进行网站或者APP等注册用。但我这种老号码应该不能在他们的号码范围中

我要回帖

更多关于 微信不绑定手机号可以吗 的文章

 

随机推荐