【安全圈】美主要运营商对短信路由方式做出重大调整 防止黑客将其改道

该调查发现一个黑客，以最小的努力，支付16美元，就可以重新路由短信，然后使用这种能力，闯入一些在线帐户，包括Postmates，WhatsApp和Bumble，暴露了美国电信基础设施存在的一个缺陷。

3月25日来Aerialink公告表示，无线运营商将不再支持在各自的无线号码上启用短信或彩信文本，这一变化是全行业的，影响到移动生态系统中的所有短信提供商。请注意，Verizon、T-Mobile和AT&T已经在全行业范围内收回了被覆盖的支持短信的无线号码。因此，任何Verizon、T-Mobile或AT&T的无线号码，如果曾作为BYON启用文本，则不再通过Aerialink网关路由消息流量。

T-Mobile，Verizon和AT&T没有立即回应评论请求。联邦通信委员会（FCC）和CTIA（运营商的贸易机构）也没有回应评论请求。上周，Motherboard公布了一项调查，其中假名Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱，以证明这个问题，此前并没有详细报道。Sakari是一家帮助企业进行短信营销和群发信息的公司。作为其中的一部分，Sakari从另一家名为Bandwidth的公司获得了短信改道的能力，而Bandwidth又从另一家名为NetNumber的公司获得了这种能力。

当输入相应的电话号码时，Lucky225被要求签署一份文件，基本上是用小指头发誓确保目标已同意短信改道。Lucky225真实身份是网络安全公司Okey Systems的首席信息官，在输入Motherboard提供的电话号码几分钟后，Lucky225就开始收到原本要发给Motherboard手机的短信。从这里，Lucky225登录了各种使用短信作为登录或认证机制的服务。

不难看出，这种攻击对安全保障造成的巨大威胁。美国联邦通信委员会必须利用其权力迫使电话公司保护其网络免受黑客攻击。对此，Sakari公司联合创始人Adam Horsman表示，Sakari推出了一项安全功能，输入的号码会收到一个自动呼叫，以确保号码所有者同意信息改道。现在，随着运营商切断手机号码短信的启用，广大的商业短信公司生态系统很可能根本无法执行这项服务。

Horsman在周四的一份声明中告诉Motherboard，我们欢迎这一消息，并希望行业内的其他公司也能效仿。我们Sakari的政策一直是只支持VoIP和固定电话号码的短信功能，一旦行业问题被提出，我们就对任何移动号码进行了全面封杀。作为我们内部审计的一部分，除了Lucky225的账户，我们没有发现其他手机号码受到影响。