找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 299|回复: 1

[【社会视角】] POS机、ATM机密码能被听译 公众忧虑密码安全

[复制链接]
发表于 2012-9-5 13:56:43 | 显示全部楼层 |阅读模式
http://www.sh.chinanews.com/PageUrl/2012959437.html


据《劳动报》报道,最近,通过按键音破译出360董事长周鸿祎手机号的大学生刘靖康火了,不仅受到众多网友膜拜,还被李开复和周鸿祎争相抢夺。
  这段带点喜感的网络佳话,却隐藏着不喜感的一面:破译过程如此低门槛、音频分析软件如此易得,若被“有心人”利用,大家的号码、密码安全还有保障吗?破译帖仍在热传,隐私安全之虑持续发酵。记者为此采访各方相关人士得出结论:通过按键音破解号码,大多发生在特殊情境下,公众不必过度忧虑。

  李开复、周鸿祎争抢“破译哥”网友“零门槛”复制破译过程

  上周五,南京大学软件工程专业大二学生刘靖康,从一段记者采访360董事长周鸿祎的视频中,截出一段10秒的拨号音,通过音频分析软件,轻松破译出周鸿祎的手机号。为了验证这个号码是否正确,他还拨打了过去,确认接电话的人正是周鸿祎。

  他把这段过程图文并茂地发表在人人网日志中,取名为“如何从拨号音中听出360总裁周鸿祎的手机号码”。这篇日志很快被网友转贴到微博,引起广泛转发。

  众多网友用他的破译攻略,得到了周鸿?的电话,“打”得周不得不发微博讨饶:“请大家别在晚上十一点后打电话,谁也不希望刚睡着就被突然的电话铃声惊醒吧。”他还顺势向刘靖康发出邀请,希望他来360实习。而李开复也在微博中“抢人”,称“希望两周后在南京见面”。面对两位老总伸出的橄榄枝,刘同学选择了李开复。

  在网友们的一片叹服声中,有理工科背景的网友指出,破解手机号毫不神奇,只是用了“简单的声音频谱分析”:把看起来相似的声音转化成图形,就可以很直观地看出每个声音是由哪些频率构成的,进而根据图谱分析得出拨号产生的号码。

  而刘靖康自己也表示,所用软件都是在网上可以找到的,并不是什么特别高端的设备。

  POS机、ATM机密码会被听译?按键无声或同声,不必过虑

  “听”音辨号火爆网络后,不少网友提出疑问:为何电话按键音不能设置成同一个音,这样不就避免了电话号码被音频分析软件破解出来?

  对于网友的这一“解决方案”,复旦大学电子工程博士赵一路告诉记者:不可行。“电话之所以有按键音,是因为接收方(交换机)是通过声音信号来判断你按的哪个键,如果所有按键音都一样,那么交换机也‘听’不懂了。这里面涉及DTMF编码原理,是国际通讯组织制定的标准,不是电话机的设置问题。”

  相比电话号码被破解,人们更担心在POS机和ATM机上按密码,会被“有心人”偷录下来破解,直接危及财产安全。“不必过度担忧”,赵一路解释道,因为ATM机和POS机,是通过按下去的键所对应的数字信号来传递信息的,并非通过声音信号传递,“所以它们通常没有按键音,或者按键音为同一个音。按键音所起的作用,只是提醒你,这个键你按下去了。”

  银行工作人员也向记者证实:不同ATM机的按键音有细微差别,但是同一个ATM机的所有按键音都一模一样,不会被破译。

  是否会成电信诈骗新方式?外地已有案例,用电话银行别开免提

  尽管在POS机、ATM机上按密码,没有被听音破译的危险,但如果使用电话银行来转账,密码安全就岌岌可危了。

  记者了解到,在刘靖康贴出破译攻略前,听音辨号已经是电信诈骗新方式。有外地媒体披露,此前在江浙地区已有警方破获多起利用这类破译方法,套取电话银行密码的诈骗案。而据上海警方透露,尚未接到此类诈骗报警。

  据悉,不法分子诱导受害人开通电话银行转账功能,让对方先汇入1元钱作为实验,并要求受害人开着免提操作,在受害人进行电话银行转账的过程中,不法分子在电话另一端录下受害人拨号的声音,然后通过音频分析软件破译出密码,盗取受害人账户内的存款。

  “本来这类案件并不算多,犯罪分子的信息化教育还没普及。这次刘同学的试验红遍大江南北,难免会有些学习能力强的坏人举一反三,将这种方式运用到犯罪中去”,南京市公安局白下分局的官方微博,特意发帖提醒市民:“如果通过电话银行转账,千万别用免提,同时注意身旁是否有可疑人士;如果被骗子盯上,应该第一时间报警,按照应急步骤操作,可迅速冻结嫌疑人账户,减少损失。”

  听音辨号YES唱音拨号NO

  破译哥刘靖康说,灵感来自动画片《名侦探柯南》中的类似情节:柯南被困水库,求助无门,忽然看到大坝上有一部电话。柯南踢出足球,击飞了电话机的听筒,同时被困的女高音和他一起模拟电话按键音,唱出了特定频率的声音,这个声音直接拨通了报警电话。

   在这个有点“冷”的知识点,也引起了网友的热议:电话号码真的能“唱拨”?

  “在理论上可行”,复旦大学电子工程博士赵一路表示,“每个按键数字都对应着音频,只要发出对应的音频声音,电话接收后,就能识别并拨号,不用按键也可以。”他向记者举例道,比如在电话上1的位置是693赫兹和1209赫兹,只要能同时发出这2种声音,那就等同于在电话号码盘上按下了1键。

  但在实际操作中,唱音拨号很难发生。上海音乐学院钢琴系教师葛灏告诉记者:“专业音乐人能唱到准确的音准,但达不到分毫不差的赫兹。所谓‘唱拨’只是动画片里的剧情需要而已。”

  对于网友提出,有乐感的人根本不需要用到音频分析软件,直接用耳朵就能辨出电话按键音,葛灏表示,由于按键音并不对应哆聀咪,一下子可能听不出,但如果有一张表,列明每个键对应的音,听音辨号是可行的。


安全只是对于普通人而言的,遇到了高手那就无所谓安全了。
回复

使用道具 举报

发表于 2012-9-5 14:42:50 | 显示全部楼层
听风者?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-20 06:24 , Processed in 0.139208 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表