8月中旬回了一趟国,在飞回湾区的飞机上发现我美国的sim卡不见了。每次来回travel都会有换sim卡这个过程,但找不到sim卡还是头一回。
That’s when i realized – sim卡是现在移动互联网时代最薄弱的安全环节。
其实很简单,电话号码正成为身份验证的最关键步骤,中美都一样。很多手机上的app已经抛弃用户名密码的组合,改用手机号码和验证码的组合。
这个转变也是配合着在过去几年手机本身的安全性能越来越强大(比如FBI都很棘手的iphone,没有密码就是打不开,而且每次试错密码锁定时间越来越久)。我也是用iphone,所以就围绕iphone来说。密码本身固然强大,但保护的只是bit level security,而没有atom level security。什么意思。atom level简单说就是现实世界。比如通过监控摄像获得用户输入的密码等,iphone即使再强大,也保护不了用户的手机内容。于是应运而生了指纹系统,可以在公共场合避免输入手机密码。很明显,指纹信息也可以有方法获取,国家层面也留有很多指纹信息。之后又有了faceID…
总之,iphone本身的安全性毋庸置疑,从bit和atom level都考虑了怎么保护用户手机,也从另一方面支持了手机号+验证码的登陆方式。手机号+验证码不仅是登陆方式,也是很多app最根本的权限,有了这个组合拥有修改密码不在话下。
那既然iphone这么安全,漏洞在哪里?我觉得就在sim卡。
把别人的sim卡拿来插到自己手机,通过验证码可以获得巨大权限。不过苹果还有AppleID这一手,需要在已有device上验证。but still,这是我觉得移动互联网时代最大的安全隐患。
今年9月的新一代iphone不出意外,会有一些系列支持双sim卡,会减少换sim卡的操作,更不用担心sim卡丢失。还有今年,或者以后将推出的eSIM卡 – 这将是解决这个环节漏洞的杀招,把sim卡的atom属性转变成bit。
但是,传统电信供应商怎么play the role,商业形式会是怎样,还是有待解决的事情。