第101章 测试发现的安全问题（一更）

本来大规模测试，林奇主要是测试这个软件的稳定性，还有并发和负载什么的。

他并不认为别人真的能测试出来什么bug，这是源于他的自信，但是后来发生的一件事让林奇改变了看法。

这件事还要从林奇开发的虚拟粒子软件说起，这款软件注册的时候，需要填写邮箱，密码还是和以前的密码一样只是简单的普通的数字字母组合密码。

现在所有的软件登录时候，要么就是自己输入密码，要么就是根据手机号下发一个动态验证码，这两种方式。

本来这样是没有什么问题的，但是现在林奇却要发布的是量子通讯技术，本身量子通讯就是以安全而闻名，所以量子通信本身是很安全的。

但有人提出了一个问题——通信本身是安全的，但是如果账号不安全，别人直接盗取了这个账号，那是不是就不太安全了。

第二智慧团队收到了这个反馈之后，一众开发人员都在思考这个问题，这确实是一个问题，如果别人通过这种釜底抽薪的方式确实很难防。

就像现在的区块链技术，本身很安全，如果比特币在你的钱包里面别人是弄不走的，但是别人并没有把你的比特币盗走，而是直接盗走了你的钱包。

最后大家对这个登录做了一次改进，不是用传统的密码，而是用人脸识别，登录这个虚拟粒子的时候，不向普通的app登录那样，还需要输入账号的名字，只是在密码那里可以刷脸登录。

这次采用的方式是直接刷脸，然后从数据库里找到那条记录，如果一个人有多个账号，就会让用户选择登录哪个账号。

其实比起账号密码，手机验证码也可以，但是用手机有一个更加危险的问题。

有一个新闻《新型诈骗|很多人！莫名收到短信验证码，一觉醒来钱没了……》，没有丢手机，没有丢手机卡，没有丢银行卡，没有丢各种支付的app的密码，收到几条验证码，结果卡里的钱就没有了。

这个并不是不良小编为了点击量自己胡编的新闻，这个新闻确确实实是真实存在的。

为什么会这样，这是什么原理呢？

其实他们用了“GSM劫持+短信嗅探技术”，骗子通过这种技术，可实时获取用户手机短信内容，进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷，实现信息窃取、资金盗刷和网络诈骗等犯罪。

具体操作过程是这样的：

一、骗子通过特种设备自动搜索附近的手机号码，用搜到的号码登录一些网站或应用，然后用“短信嗅探技术”拦截这些网站、应用发送的验证码。

二、骗子通过登录其他一些网站，就会从中碰撞出身份信息，称之为“撞库”（即多个数据库之间碰撞），将身份信息匹配出来，包括身份证、银行卡号、手机号、验证码等信息。

三、骗子在一些平台开通账号并绑定事主银行卡，冒充事主消费或套现，从而盗取事主银行卡资金。

等失主一觉醒来，发现手机里一大堆验证码的时候，积蓄已经飞走了……

本来，这种技术主要针对2G的GSM信号，但骗子狡猾之处就在于，他们会先干扰附近的手机信号，使4G变为2G信号后，再窃取短信信息。

另外，该团伙大多选择凌晨作案，再加上无需直接与事主接触，因此大部分事主对资金被盗毫无察觉，一觉醒来只有手机里各种莫名其妙的验证码……

警方对此建议搭建采取以下的解决方法：

1.平时要做好手机号、身份证号、银行卡号、支付平台账号等敏感的私人信息保护；

2.睡觉前关机或者设置飞行模式，或者关闭手机的移动信号，只连接WIFI，这样能略微提高被嗅探的难度。

3.如果早上起来，看到半夜收到奇怪的验证码短信，一定要想到可能是遇到短信嗅探攻击了，赶紧查看自己的银行卡和支付应用。这时如果发现钱被盗刷了，火速冻结银行卡，保留短信内容，报警。

4.如果突然发现手机信号变成2G，要立刻意识到自己可能正遭遇这种攻击，并采取以上方式防御！

5.有些银行APP安全功能，可以对此进行防备，比如开启常用设备管理

网络安全公司也提出了解决方法：

1.不论是早期的伪基站1.0诈骗，还是新型的伪基站2.0诈骗，暂时都是通过2G网络制式完成诈骗。如果用户的手机依然还在使用2G网络制式的老人机或早期的手机机型，唯一的解决方法是使用支持4G网络制式的智能手机。

2.如果用户使用的手机已经更换为4G智能手机，同时手机卡也处于4G待机状态，可以联系电信运营商开通VoLTE业务，这样一来不仅可以抵挡伪基站1.0的垃圾短信，而且可以抵挡前面所提到的GSM短信嗅探攻击。

3.目前多数智能手机已经支持伪基站识别，可以自动将伪基站发送的垃圾信息和诈骗信息加入到屏蔽短信列表中，这样一来用户可以通过屏蔽列表看到被拦截的垃圾短信，不过这种方式并不能彻底阻挡伪基站的诈骗信息，只能是让用户减小被骗几率。

4.最后一种方式是最简单的，晚上休息之后将手机调整到飞行模式或直接关机，不过这样虽然可以防止GSM短信嗅探，但如果有人需要联系你的时候不能及时联系到，所以是否选择这种方式还要取决于个人。

其中的开飞行模式的方法估计没有几个人睡前会这么设置的，一来太麻烦了，二来晚上真有什么急事别人联系不上自己。

林奇一边在看这个新闻，一边在想以后到底怎么才能保证人们的财产安全。

虽然等到量子通信技术有了之后，如果所有的人都转到了量子通信，这样不会被什么伪基站截取，但是并不能解决以前人们用的老旧手机的问题。

对于以前的老旧手机甚至不能安装虚拟粒子的手机，林奇也没有什么好的办法来阻止这些不安全的通信。

除非是让所有的人都不再依赖手机号，现在网站为了判断是否是同一个人注册多个账号，很多都让用户绑定手机号。

甚至有的网站只开放了手机号登录，除了能确认这是一个人以外，还能通过这个方式留下了注册用户的信息，方便网站运营人员联系用户。

PS：

到三位数了，标题换一种格式。

大家平时一定要注意安全，用刷脸和指纹其实也不是特别安全，在后面的章节里还会有这方面的黑科技。