上周，不明攻擊者入侵通信服務(wù)公司Twilio的系統(tǒng)后，將Signal用戶作為攻擊目標(biāo)。

Twilio是一家云通信公司，為其他公司提供基礎(chǔ)設(shè)施，Twilio公司致力于幫助開(kāi)發(fā)者在其應(yīng)用里融入電話、短信等功能，讓它們自動(dòng)向用戶發(fā)送短信。通過(guò)入侵Twilio系統(tǒng)，黑客可以向受害者發(fā)送短信，并讀取他們的短信。這可能讓黑客有機(jī)會(huì)接管使用Twilio服務(wù)的任何受害者的電話號(hào)碼綁定的賬戶。

至關(guān)重要的是，Twilio為加密的消息應(yīng)用Signal提供文本驗(yàn)證服務(wù)。當(dāng)用戶用Signal注冊(cè)他們的電話號(hào)碼時(shí)，Twilio會(huì)向他們發(fā)送一條包含驗(yàn)證碼的短信，然后他們將驗(yàn)證碼輸入到Signal。據(jù)使用Twilio發(fā)送帶有驗(yàn)證碼的短信的Signal公司透露，它是這次攻擊的目標(biāo)之一。Signal特別指出，黑客攻擊了該公司約1900名用戶。這意味著，對(duì)于這些用戶來(lái)說(shuō)，黑客可能已經(jīng)在他們自己的設(shè)備上注冊(cè)了他們的號(hào)碼并基本上冒充了他們，或者截獲了 Signal 用于注冊(cè)用戶的 SMS 驗(yàn)證碼。

好消息是由于 Signal 的設(shè)計(jì)方式，即使黑客使用受害者的電話號(hào)碼注冊(cè)他們的帳戶，他們也無(wú)法訪問(wèn)大量信息。

Signal目前對(duì)該攻擊的回復(fù)如下：

重要的是，這并沒(méi)有讓攻擊者獲得任何信息歷史記錄、個(gè)人資料或聯(lián)系人列表。消息歷史記錄只存儲(chǔ)在你的設(shè)備上，Signal不會(huì)保留它的副本。你的聯(lián)系人列表，個(gè)人信息，你已經(jīng)屏蔽的人，以及更多只能通過(guò)你的Signal PIN恢復(fù)，而在這次事件中，Signal PIN沒(méi)有(也不能)被訪問(wèn)。但是，如果攻擊者能夠重新注冊(cè)帳戶，他們就可以從該電話號(hào)碼發(fā)送和接收 Signal 消息。

換句話說(shuō)，黑客可以冒充受害者，但不會(huì)有他們的聯(lián)系方式或信息。

在攻擊者可以訪問(wèn) Twilio 的客戶支持系統(tǒng)的窗口期間，他們可能會(huì)嘗試使用SMS驗(yàn)證碼將他們?cè)L問(wèn)的電話號(hào)碼注冊(cè)到另一臺(tái)設(shè)備。則攻擊者不再擁有這種訪問(wèn)權(quán)限，并且攻擊已被 Twilio 關(guān)閉。

在這1900個(gè)電話號(hào)碼中，攻擊者搜索到了三個(gè)號(hào)碼，我們收到了其中一個(gè)受害者的投訴，稱他的賬戶已被重新注冊(cè)了。

根據(jù)投訴，黑客能夠在 13 小時(shí)內(nèi)接管受害者在 Signal 上的號(hào)碼。

美國(guó)東部時(shí)間8月7日(周日)凌晨2點(diǎn)43分，本文所講的其中一位受害者收到了一條短信:“你的信號(hào)驗(yàn)證碼已被(修訂)?！碑?dāng)他意識(shí)到發(fā)生了什么的時(shí)候，就立即通知了兩位數(shù)字安全專家朋友，并聯(lián)系了Signal。當(dāng)時(shí)還不清楚發(fā)生了什么。

那時(shí)，Twilio還沒(méi)有透露泄露的消息，Signal也沒(méi)有對(duì)受害者公開(kāi)或私下說(shuō)過(guò)任何事情，所以我們不知道發(fā)生了什么。受害者讓手機(jī)供應(yīng)商檢查他是否換了SIM卡，但沒(méi)有任何受到攻擊的跡象。受害者還查看了其所有的重要賬戶，看看是否有任何攻擊的跡象，但是，同樣，沒(méi)有任何攻擊或闖入的跡象。如果沒(méi)有 Signal 的調(diào)查結(jié)果，我們無(wú)法真正知道發(fā)生了什么。

根據(jù)調(diào)查，受害者無(wú)法立即進(jìn)入其使用Signal的設(shè)備，直到美國(guó)東部時(shí)間當(dāng)天下午5:20才能重新注冊(cè)其賬戶。這意味著，在大約13個(gè)小時(shí)的時(shí)間里，黑客無(wú)法訪問(wèn)受害者的聯(lián)系人或關(guān)于他的任何消息內(nèi)容，但他們可以在Signal上冒充受害者，給假裝是受害者的人發(fā)消息。

一旦重新注冊(cè)了帳戶，攻擊者就無(wú)法進(jìn)行任何活動(dòng)了，并阻止他們使用受害者的帳戶。然后，受惠者啟用了“注冊(cè)鎖定”(Registration Lock)功能，確保不會(huì)發(fā)生類似操作?！白?cè)鎖定”是一項(xiàng)信號(hào)功能，要求用戶用“注冊(cè)鎖定”(Registration Lock)注冊(cè)一個(gè)號(hào)碼，以提供用戶的PIN碼。此外，在這個(gè)案例中，因?yàn)槭芎φ哂肧ignal設(shè)置了個(gè)人密碼，黑客無(wú)法訪問(wèn)其聯(lián)系人。

通過(guò)剛剛那個(gè)案例，我們要提醒用戶：要打開(kāi)Signal的注冊(cè)鎖定功能，它可以防止黑客在沒(méi)有你的Signal PIN碼的情況下在他們的設(shè)備上注冊(cè)你的號(hào)碼。像Twilio被黑這樣的事件也提醒我們，依賴短信進(jìn)行驗(yàn)證的服務(wù)很容易受到攻擊。重要的是要盡可能啟用每一個(gè)安全功能。

通過(guò)該事件，讓人覺(jué)得可怕的不僅僅是Signal的影響。任何平臺(tái)或服務(wù)都可能被操縱，將驗(yàn)證證書(shū)交給攻擊者。目前，盡管各種服務(wù)在我們經(jīng)過(guò)驗(yàn)證后都采取了保護(hù)措施來(lái)保護(hù)我們的賬戶，但現(xiàn)在正是這些賬戶最容易被攻擊利用的時(shí)候。

如果你收到Signal發(fā)送的短信，其中包含這篇支持文章的鏈接，請(qǐng)按照以下步驟操作：

1.在你的手機(jī)上打開(kāi) Signal，如按照提示請(qǐng)重新注冊(cè)Signal 帳戶。

2.為了最好地保護(hù)你的帳戶，我們強(qiáng)烈建議在應(yīng)用程序的設(shè)置中啟用注冊(cè)鎖定。創(chuàng)建此功能是為了保護(hù)用戶免受 Twilio 攻擊等威脅。

本文翻譯自：https://www.vice.com/en/article/qjkvxv/how-a-third-party-sms-service-was-used-to-take-over-signal-accounts如若轉(zhuǎn)載，請(qǐng)注明原文地址。