*转载文章不代表本站观点。

本文来自微信公众号“数据实战派”（gh_ff93f845912e），作者：库珀

每当你更改手机号码时，运营商其实都会回收你的旧号码，他们通过将号码分配给新手机和相应的新客户实现号码 “回收再利用”。

运营商会说这样做是为了避免 “号码耗尽”，或者避免每部手机都已经使用了所有可能的手机号码。

然而，当这些被 “回收” 的手机号码最终允许新客户访问以前手机用户的私人信息时，问题就出现了，这意味着，如果有不良动机的黑客入侵，利用 “回收” 的号码可能会给许多用户带来无法估量的安全风险。

日前，普林斯顿大学计算机科学系和信息技术政策中心（Center for Information Technology Policy）发表了一篇论文，对手机号码回收环节的安全和隐私风险进行了评估，并为消费者提供了应对这些风险的建议。

手机号回收潜在 8 种安全风险

研究人员对美国两大运营商（T-mobile 和 Verizon Wireless）的 259 个新用户可用手机号码进行了抽样调查，发现其中 171 个号码与热门网站的现有帐户绑定，可能会导致这些帐户被盗用，有相当一部分（259 个数字中的 100 个）与网络上泄露的登录凭据有关，可能导致账户被劫持，从而挫败基于短信的多因素身份验证。

此外，他们还发现运营商的在线接口和号码回收策略存在设计缺陷，这些缺陷可能会促进涉及号码回收的攻击。

这样的现实例子非常普遍，一名记者刚换完手机号码，就收到了大量的短信，内容包括验血结果和水疗预约，而另一名业务人员则意外地通过短信要求输入登录验证密码后，进入了前一位主人的电子邮箱・・・・・・研究人员对 195 名参与者进行调查，其中 72 人报告了与号码回收有关的负面经历。

在论文中，研究人员总结了 8 种不同的攻击类型，有的攻击策略非常低成本，黑客只需要与标准的在线号码更改接口交互来执行这些攻击，而不需要利用其他软件漏洞。

具体有哪 8 种呢？花样可以说非常多，其中前 4 种攻击者可以针对回收手机号码的前所有者，另 4 种攻击者则可以针对未来所有者：

1、PII 索引。攻击者循环浏览运营商在线号码更改表单上的可用号码，并通过人员搜索服务检查以前所有者的个人识别信息（PII），黑客可以阅读受害者的新信息，冒充前主人，号码前主人的朋友、家人都可能受影响。

2、通过恢复进行帐户劫持。攻击者可循环查看可用的 “回收” 号码，并检查其中是否有任何号码链接到现有的在线帐户（例如社交媒体、电子邮件、电子商务等）。他们通过点击获取该号码，并尝试通过基于短信的密码恢复来重置链接帐户上的密码。

3、没有密码重置的帐户劫持。攻击者循环浏览可用号码，检查链接帐户以及人员搜索服务上以前的所有者密码。攻击者使用 PII 从网络犯罪市场上的数据泄露列表中查找和购买用户数据，他们获得的手机号码与在线帐户和密码都有紧密关联，他们通过密码和控制手机号码可绕过基于短信的在线账户验证。

4、有针对性地收购号码。攻击者得知熟人的联系方式发生了变化（例如，跟踪者打手机并收到一条被取消的号码拦截消息，朋友更改了他们的号码并告诉所有人）。他们跟踪 “老化期”，一旦回收号码被重新放出就可以得到，去试图破解前所有者的各种账户。

5、网络钓鱼攻击。攻击者会记录可用的号码，但不会获取这些号码。他们能不断检查这些号码是否仍然有效。一旦 “回收” 号码被分配给一个新的用户，他们就可以通过短信来欺骗订户（例如，“欢迎您使用新的服务。单击此处为您的帐户启用高速数据传输，附一个诈骗链接”），当信息看起来足够可信时，号码新用户很容易受到网络钓鱼攻击。

6、有 “说服力” 的接管。攻击者记录可用的号码，但没有得到它们，号码被重新分配后，他们可以伪造运营商信息（例如，“您的号码是对前所有者正在进行的调查的一部分，需要收回。请在线更改您的号码 “）并在老化期后取得号码发起账户攻击。

7、垃圾邮件信息。攻击者获得一个号码，滥用号码注册各种警报、时事通讯、活动和机器人手机等。

8、拒绝服务。攻击者获得一个号码，注册一个需要手机号码的在线服务账户，然后再释放该号码。当受害者获得号码并尝试注册相同的服务时，会发现该号码已有相关帐户而被拒绝，攻击者可以通过短信联系受害者，并要求支付相关费用才解绑号码。

更关键的发现是，研究人员抽样的大多数可用号码（259 个中的 215 个）都是经回收再分配的，而且容易受到一种乃至多种信息安全攻击，他们估计例如 Verizon 这样的运营商，可回收的手机号码大约有 100 万个以上，而且每月都会有大量新的回收。

66% 的回收号码相关账户可能被劫持

大多数被放弃的手机号码并不是永久性失效，除了有限的 10 位数的号码。

在美国，联邦通信委员会（FCC）制定了专门针对号码回收的规则，旨在鼓励运营商回收号码，同时降低订户的风险，但并不能解决上述 8 种风险漏洞。

运营商被禁止在断开服务后 45 天内重新分配号码，并且最多可以保留 90 天（对于商业客户签名的号码，则可以保留 365 天）。2018 年 12 月，为了打击非法的机器人通话，FCC 宣布了一项创建重新分配号码数据库（RND）的计划，同时确定了 45 天的最小老化期。运营商将被授权每月报告回收的号码，这些号码被汇编成一个集中的来源。

运营商必须遵守 45 天的最短期限，并从 2020 年 7 月开始保持断开号码的记录。根据技术要求文件，可使用 RND 访问 FCC 验证账户，但需支付一定费用。数据库用户需要注册为呼叫方、服务提供商、免费号码管理员或 FCC 人员。

但基于一些现有规则，研究人员还是能成功测试电话号码回收相关的安全风险严重性，比如：1、攻击者在以前的所有者身上找到回收号码和相应的 PII 有多容易？2. 攻击者在易受攻击的在线帐户上找到回收的电话号码有多容易？3. 攻击者是否可以使用人员搜索网站上的 PII 来查找这些链接帐户的可能密码？

他们在美国最大的两家运营商 Verizon Wireless 和 T-Mobile 各注册了一个预付费账户，两个运营商都为用户提供了一个在线接口来更改他们的电话号码。

分析结果是，大多数号码都被证实是经回收而来的（83%），如下表所示，黄色高亮部分表示对具有特定身份验证配置的帐户有直接风险，红色显示部分则表示对帐户的直接危险，无论身份验证配置如何。

攻击测试的命中率

多数回收号码的前所有者都面临着风险：

1. 大多数号码可通过 PII 索引启用模拟攻击。

在实验中分析的 259 个号码中，有 171 个（66%）在被验证或是内部攻击测试中都获得了成功，攻击者可以使用这些服务收集以前所有者的 PII，一旦他们获得前一个所有者的号码，他们就可以进行模拟攻击。

2. 大多数号码可通过恢复实现账户劫持。

在实验样本中的 259 个号码中，有 171 个（66%）在六个网站中至少有一个网站上有账户链接。如果启用了基于 SMS 的恢复功能，攻击者可能会侵入所有这些帐户，即使在 Facebook 和 Google 上也是如此。一个特别令人关注的结果是，Amazon、Yahoo、Paypal、AOL 等安全网站的点击率，在抽样调查中，100 个（39%）的号码至少链接在这四个网站中的一个账户上。

3. 一些号码可以在没有密码重置的情况下实现帐户劫持。

研究人员总共发现样本中的 100 个电话号码（占样本的 39%），其中至少有一个关联的电子邮件地址涉及密码泄露，并在至少一个网站上链接了个人资料。

4. 其他认证方法也有被接管的风险。研究人员分析了六个美国主流网站，Google、Yahoo 和 AOL 在美国提供消费者网络邮件服务，在 259 个手机号码中，有 139 个（54%）可登录到这三个网站中的至少一个账户。

研究人员根据 NPA（国家编号计划区)-NXX（本地电话号码前缀）推算，估计 Verizon 上可用的可回收号码数量达 180 万个（95% 置信区间）。

研究人员还对以前拥有回收号码的人的电话和短信进行了分析，结果发现近 10% 的人收到了针对前任业主的敏感电话 / 短信。

针对性的防范措施

在论文的末尾章节，普林斯顿大学研究人员分别针对运营商、网站和用户提出了相关防范建议。

运营商方面，建议提醒用户手机号码重复使用的潜在风险。

目前，两家美国运营商都没有在其在线界面上提供任何有关数字回收风险的信息。运营商应该要求用户更新号码绑定的账号，还可以建议用户在更改（或注册帐户）时保留与新电话号码相关的任何帐户。

此外，需要公开号码回收政策和时间表，运营商应记录他们的号码重设政策，在后付费接口上采取安全措施；限制在线手机号码变更，除限制查询外，运营商还应限制用户请求号码变更的次数，限制数量变化将从本质上减少攻击者可以在网络上积累和出售的被劫持帐户的数量，从而降低攻击的盈利能力；为非活跃用户提供 “数字停车场”，用户可以将自己的电话号码存储在低成本的每月续费状态下，目前 T-mobile 和 Verizon 已经为他们的后付费用户提供了自愿临时暂停服务。

虽然运营商可以提高人们对手机号码回收的认识，并对其进行澄清，但在依赖 SMS 2FA（双因素认证）的网站上拥有账户的用户仍然面临风险。

针对网站，研究人员建议，双重不安全网站需要防止同时使用短信进行账号恢复和 2FA，实施至少一个安全 2FA 选项，消除 / 阻止 SMS 2FA。

对于用户，建议在断开服务时保留当前电话号码，可以将自己的号码停放在专用的 “数字停车场” 服务中，可以缓解若干数字回收威胁，用户可以有更多时间更新他们的 SMS 2FA 设置，暂时断开连接的用户可以防止因老化期混乱而导致的意外号码丢失，可以在一段时间内阻止旧号码被重新分配，以防止滥用者定向接管号码，当用户准备释放他的旧号码，则可以取消数字停车服务，之后再交给运营商进行回收。

研究人员在论文中表示，作为一种受监管的行业惯例，完全停止手机号码回收不太可能，因此，如何 弥补数字循环造成的安全漏洞和隐私风险十分重要，特别是，在线服务不应再将正确输入的 SMS 密码与成功的用户身份验证等同起来。

Reference：

https://recyclednumbers.cs.princeton.edu/assets/recycled-numbers-latest.pdf