文章总结： 研究揭示短信免密登录因Token随机性不足存在严重漏洞，攻击者通过枚举即可窃取数百万用户隐私。测试显示177项服务中125项可被利用。建议服务商提升链接复杂度并缩短有效期，或改用有时限的邮件魔术链接结合双重验证以保障安全。 综合评分： 84 文章分类： 数据泄露,漏洞分析,威胁情报

【安全圈】3300 万条短信洞察：免密登录成黑客后门，数百万用户隐私裸奔

安全圈

2026年1月22日 19:00 江苏

关键词

信息泄露

科技媒体 Ars Technica 今天（1 月 22 日）报道，联合研究团队近日发布论文指出，数百万用户正因短信（SMS）中的免密登录链接面临严重的隐私泄露风险。

该研究由新墨西哥大学、亚利桑那大学、路易斯安那大学及 Circle 公司联合发布，指出广泛应用于保险报价、求职招聘及家政服务等领域的 ” 短信免密登录 ” 功能，正将数百万用户的隐私置于危险境地。

注：为了省去用户记忆密码的麻烦，许多服务商仅要求用户输入手机号，随后通过短信发送包含认证链接的消息。

然而，研究人员指出，这种看似便捷的机制背后存在重大设计缺陷，让诈骗者能够轻易实施身份盗窃，甚至在未获授权的情况下查看或修改用户的部分保险申请单等敏感业务数据。

该安全漏洞的根源在于验证链接的生成机制过于简单，缺乏足够的随机性（即 ” 低熵 “）。研究发现，许多服务商生成的安全 tokens 呈现出明显的序列规律。

攻击者无需具备高深的网络安全知识，只需使用消费级硬件，对截获或推测的 URL 链接末尾进行简单修改（例如将字符 “ABC” 递增为 “ABD”），即可通过 ” 枚举攻击 ” 访问其他用户的账户。

部分劣质服务甚至允许攻击者在点击链接后，无需任何额外验证即可长驱直入，且这些链接的有效期往往长达数年，进一步放大了安全隐患。

为了评估事态严重性，研究团队分析了公共短信网关中超过 3300 万条短信，提取了约 3.23 亿个唯一 URL。结果令人触目惊心：在涉及的 177 项服务中，有 125 项允许攻击者大规模枚举有效 URL。

这意味着，任何持有链接的人都可能获取陌生人的社会安全号码（SSN）、出生日期、银行账号及信用评分。论文第一作者 Muhammad Danish 指出，虽然普通用户应避免向不可信来源提供信息，但此次受影响的名单中不乏拥有数百万活跃用户的知名服务商，这使得用户防不胜防。

尽管漏洞已公开，但服务商的响应速度令人担忧。在研究人员尝试联系的 150 家受影响服务商中，仅有 18 家给予回复，最终只有 7 家修复了缺陷。

针对此类风险，DuckDuckGo 和 404 Media 等隐私导向型网站已转向使用基于电子邮件的 ” 魔术链接（Magic Link）”。这种方式通过发送有时效限制（如 24 小时内有效）的一次性登录链接，结合邮箱本身的双重验证（2FA），在一定程度上提升了安全性。

END

阅读推荐

【安全圈】苹果 App Store、Apple TV 和 iTunes 商店出现服务中断，照片应用也受影响

【安全圈】麦当劳被勒索软件攻击，861GB 敏感数据失窃

【安全圈】WordPress 插件漏洞导致 10 万余个网站面临权限提升攻击风险

【安全圈】网络工程师李某以技术手段窃取赌博网站184万余名中国公民个人信息，警方已扣押其180余个比特币

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】3300 万条短信洞察：免密登录成黑客后门，数百万用户隐私裸奔》