短信身份驗證的安全隱患有哪些？

• 短信木馬

目前手機短信驗證方式受到最大的威脅就是來自于智能手機平臺上的短信木馬。這類短信木馬通過發送含鏈接的短信，讓用戶在不知情的情況下下載安裝木馬，當木馬安裝在手機內就會將涉及用戶財產的應用賬號密碼重置，并攔截短信驗證碼，實現重置用戶的賬號。

這是用戶方面在短信驗證安全受到的威脅，只是這類木馬由于編寫簡單，早已形成一個非常完整的產業鏈：

制作木馬→ 出售木馬 → 租用木馬 → 進行釣魚詐騙 → 成功后進行洗號 → 轉移財產。

當然智能手機平臺也都出臺了相應政策來降低這種盜竊案的案發率，例如Android系統4.4版本之后已經收緊了短信的權限，但是大部分還是依靠用戶來提升警戒心來進行防范。

• 補卡、克隆卡

通過補卡、克隆卡，得到一個與用戶相同的手機號，接收用戶短信驗證碼，重置用戶的各種賬號然后盜竊財產。

這是運營商導致短信驗證的安全受到威脅，由于二三線城市的運營商對于補卡人員的身份驗證不嚴而產生的不良后果。不過，三大運營商已收到公安部通知，營業廳對于用戶補卡時，盤查已非常嚴格了。想要渾水摸魚進行補卡盜竊的情況也已經得到有效遏制，但還沒有滅絕。

• 無線電監聽

通過無線電監聽，簡單來說就是通過偽基站對用戶手機進行監聽，但是受范圍的限制。這種通過監聽空中短信的方式也包括GSM監聽，獲得短信內容然后進行盜竊活動，雖然有一定的距離限制，但是可以與短信木馬相輔相成，又能單獨作案，不過這種方式的成本略高。

這也是由運營商導致短信驗證的安全受到威脅，不過由于目前大部分用戶使用的是3G、4G等安全級別更高的信號通道，所以不法分子會通過偽基站對手機信號進行降維攻擊，就是把手機信號將至2G然后進行攻擊，這樣的方法沒有太好的解決方案，只能等GSM推出歷史舞臺。

• 手機丟失

手機丟失后，這樣也會對短信驗證的安全造成極大的威脅，不過好在手機丟掉后用戶是知情的，能夠及時溝通運營商進行補卡掛失，所以在這方面造成用戶被盜竊的比例太低。

由于短信的驗證方式方便快捷，不需要像網銀U盾等物品就可以進行認證，才會導致通過手機綁定業務的爆發式增長，而且目前短信驗證碼的安全性還是比較高的。

回答所涉及的環境：聯想天逸510S、Windows 10。