沙上堡垒？“短信验证码”成个人信息安全大隐患

当前，手机已成为许多人生活工作必备品，承载了手机号码、银行卡信息、社交媒体账号信息等诸多个人信息，手机对保护个人信息安全的重要性日益突出。

虽然手机丢失只是极小概率的事件，但是也给个人信息安全保护敲响了警钟。

随着移动支付的普及，“短信验证”是目前最便捷的验证方式，人们只需要在手机上操作，就可以便捷快速地完成开通业务、支付款项等活动。然而，科技的进步带来的不仅是便捷，还有安全隐患。因此手机短信验证码已被广泛应用于各类移动应用、网站服务。用户可以通过短信验证码进行修改密码、修改绑定邮箱等敏感操作。

同时，短信验证码也能让用户不输账号密码直接登陆。目前大多数APP，在掌握手机号码的前提下，都可以无密码登陆。手机只要收到系统发送的验证码，就可以快速登陆。

对手机用户来说，一旦短信验证码内容被外泄，不法分子就可以利用获取的用户手机号码和验证码登录个人账户，用户会面临个人信息泄露甚至财产损失的风险。

360安全研究员俞奎认为，从研究所得的短信验证码多个攻击角度来看，在这个案例中，存在漏洞的实体均没有考虑手机号验证的可信问题，即平台验证的是设备，设备在谁手中，谁就是设备的“主人”，“这种情况下，一旦手机丢失、手机卡落到不法分子手中，或手机短信验证码被劫持，就可能存在身份被冒用、资金盗刷的情况”。