研究：美國電信業者放任SIM卡偷換攻擊

來自美國普林斯頓大學的4名研究人員，在上周公布了一項報告，指出美國電信業者對於用戶切換SIM卡時，所要求的身分認證機制安全性不足，讓駭客輕易取得基於用戶身分的SIM卡，在所測試的50張預付卡中，成功偷換了39張SIM卡。

有不少服務的雙因素認證機制支援以手機簡訊作為密碼之外的身分認證工具，業者傳送一次性認證碼到使用者的手機上，使用者只要在服務上輸入密碼與一次性認證碼就能通過身分認證，但有愈來愈多的駭客透過SIM卡偷換（SIM Swap）攻擊，以用戶的身分詐騙電信業者，把駭客誤認為用戶並切換SIM卡，而讓駭客能以用戶的身分取得一次性認證碼，進而危害用戶的權益。

研究人員向美國電信營運商各購買了10張預付卡，包括AT&T、T-Mobile、Tracfone、US Mobile與Verizon Wireless，再打電話去這些業者的客服，宣稱SIM卡故障了，但手邊有一張新的SIM卡，可否將身分切換到新SIM卡上，藉以驗證這些電信業者的身分認證能力，結果發現業者所提供的機制缺乏安全性，在50張SIM卡中，成功切換了39張。

其實電信業者各有確認用戶身分的規定，它們可能要求使用者提供地址、電子郵件位址、啟用日期 、最後一次付款、裝置資訊、最近一次撥打的電話、PIN碼或密碼、安全問題、簡訊OTP或電子郵件OTP等，在上述的程序中，只有PIN碼或密碼、簡訊OTP與郵件OTP是被視為安全的認證方式，其它都有機會被繞過。

例如研究人員只要額外加值就能掌握最後一次付款時間，先撥打受害者電話使得他回撥，就能掌握最後一次撥打的電話號碼，個人資訊或帳號資訊只要利用資料蒐集器就能取得，裝置資訊可透過惡意的Android程式取得，安全問題則經常能被猜到。

更令人傻眼的是，Tracfone與US Mobile有些客服，完全沒有詢問客戶身分就切換了SIM卡。

在最終的結果中，研究人員成功掉換了向AT&T、T-Mobile與Verizon購買的各10張SIM卡，Tracfone與US Mobile則分別有6張及3張是成功的，以總數50張來看，成功機率高達78%。

接著研究人員還拿著這些已被成功偷換的SIM卡，去測試逾140個線上服務，其中有17個網站只需要SIM卡就允許駭客取得受害者帳號。

此一研究主要測試的是預付卡，研究人員指出，這些電信營運商對於月租型SIM卡帳號的規定較為嚴格，也較不容易展開SIM卡偷換攻擊。