“短信嗅探”，验证码短信本身的设计漏洞？

近日，《卡在，钱没了！“短信嗅探”三公里内刷爆所有银行卡》的报道再次将人们的注意力集中到短信嗅探上。所谓短信嗅探技术，是通过特殊的设备，对附近的手机号码和机主信息进行采集，实现不接触目标手机，而获得目标手机收到的验证码短信的犯罪手段。

短信验证码主要用于用户身份认证，运用于各大APP、网站的基本操作。使用短信验证码可以完成登录、更换密码、转账、支付等多种的操作。从作用上，验证码已经成为了一个操作时的安全口令，企业端和用户端的安全口令，以进行相应的操作。

针对于验证码这一安全口令本身，相关的专家使用过演示的方法，验证了LTE重定向攻击的可能性，也以利用了LTE/4G+GSM中间人攻击所有短信验证为主题举办过公开课。

有相关的专家认为，3GPP制定协议标准的时，为了解决在发生紧急情况、突发事件而需要及时调动网络请求，出现的大量授权、加密、完整性检查的安全举措而带来的网络瓶颈，舍弃了部分的安全措施，因此出现了安全漏洞。

也就是说，短信验证码是相关的企业再没有做好数据上的生命周期保护，在传输过程中出现了致命的漏洞。这个漏洞属于是设计上的漏洞。所以，难以进行修复。

但是，也有部分的专家认为，短信嗅探并通过验证码短信进行盗取银行存款的可能性很低，普通的用户没有进行担心，也不需要进行关机操作。事实上，该漏洞是属于企业端将信息发送到用户端的过程之中出现的。如果进行拦截短信验证码，因为短信的验证码的本身逻辑设计原因，没有太好的防御方法。这就需要支付平台对于风控的把控，或者是提出能够更加安全的认证过程。