笔者日前介绍了透过SS7安全漏洞,窃取Facebook帐号的方法由于该攻击手法只需知道受害与Facebook帐号绑定的手机号码,就能透过「忘记 密碼」的方式取得帐号的完整共控制权,因此不要将手机号码登录至Facebook帐号就能避免这种攻击。但是对于已经登录手机号码的用户也不需太过担心,用户仍可手动移除手机号码以避免将帐号曝露于风险之下。
在手机上移除已绑定手机号码
日前笔者曾攻击者只要知道受害者的手机号码,就能使用Facebook的忘记密码功能搭配SS7电信系统的漏洞,重设受害者Facebook帐号的密码并取得帐号控制权。如果要避免此一资安风險最直接的方式就是不要将要将手机号码登录至Facebook帐号,或是将已登录的手机号码移除
由于笔者在网页版Facebook中找不到移除手机号码的选项,因此不确定是否能透过网页版进行操作但是在智能型手机的App版可以正常操作,所以笔者在下方的教学中以iOS版App作为教学范例
▲在操作朂初,先点击Facebook App中右下角的「更多」按钮然后往下滑动找到设置「选项」。
▲点击设置之后再点击跳出对话框中的「帐号设置」。
▲在設置菜单中点击「一般」。
▲在这边可以看到自己的帐号数据如果读者的App显示的信息与范例图片一样,有显示电话号码的话代表手機号码已登录至Facebook帐号。在这边点击「电话号码」项目进行设置。
▲接下来在目前的电话号码字段中可以看到「移除」选项,点击「移除」
▲最后输入Facebook的密码,就能移除已登录的手机号码
▲将手机号码移除之后,再回到帐号数据页面就会发现电话号码字段已经清空。
无法再透过手机接收认证码
由于这次介绍的攻击手法是在使用Facebook的忘记密码功能时,拦截透过手机短信发送的认证码并让攻击者能够偅设受害者Facebook帐号的密码,并取得帐号控制权因此只要移除手机号码之后,就无法再透过手机短信发送的认证码因此也可以避开这个攻擊手法。
在笔者移除手号码之后再尝试使用忘记密码功能,会发现只能以E-Mail接收认证码因此就不必担心被这种攻击手法窃取Facebook帐号。
▲移除手号码之后就无法再透过手机短信接受忘记密码功能的认证码,因此能够避开这个资安风险