在线电话的用户经常难以分辨哪些号码是要收费的，一位研究人员便从中发现，可利用谷歌、微软和Instagram的在线电话验证系统赚取百万美元。
 

　　很多网站和手机应用都允许用户将手机号关联到账号上。这可以用作双因子身份验证或账号恢复和验证的措施。很多此类系统都依赖于通过手机短信发送的验证码，但也提供呼叫用户提供验证码的方式。

　　去年，名为阿恩·斯文顿的比利时IT安全顾问开始好奇，此类系统会不会测试用户输入的号码是否附带额外收费呢?于是，他对几个流行服务进行了测试。

　　他在9月先对Instagram进行了测试，很快便发现，如果通过短信发送的Instagram安全验证码没在3分钟内输入的话，该服务便会拨打用户提供的收费号码。他还发现了触发此类Instagram呼叫的方法。Instagram会通过一个API(应用编程接口)每隔30秒从加州拔出持续17秒的呼叫。

　　斯文顿设置了一个每分钟收费0.06英镑的号码，通过滥用Instagram的系统，成功在17分钟内转到了1英镑。通过注册多个号码和Instagram账号，还可自动化该攻击方式，每天赚取数千英镑。

　　拥有的Instagram的Facebook起先还告诉斯文顿，说这不是漏洞，只是Instagram服务方式的一部分。该公司称，该服务会监测并封锁滥用尝试，这些混过监测的呼叫是可承受的风险。

　　之后，Facebook对某些呼叫限制进行了微调，修改了其带外呼叫服务，并决定奖励斯文顿2000美元的漏洞奖金。

　　2月，该研究员向谷歌通报了类似的攻击。谷歌基于电话的双因子验证服务同样对滥用毫不设防，尽管滥用方法稍微有点麻烦。

　　斯文顿曾计算过，仅仅1个谷歌账号+1个收费号码，他就能在1天内偷走12欧元。注册多个账号和多个收费号码，自然可以倍增收入。

　　谷歌响应称，该漏洞缓解措施是存在的，只是因为电信业工作方式的关系，不可能全面封禁此类滥用。

　　微软的 Office 365 试用注册也要求电话验证，这是最容易被滥用的。斯文顿找到了两种方法来规避网站现有的呼叫频率限制，理论上可以每天向同一个收费号码拨打1300万次以上。

　　另外，该服务还允许并发呼叫，每通呼叫持续23秒钟。只需要一个每分钟收费0.15欧的号码，斯文顿便能在1分钟之内赚到1欧。

　　微软称，该漏洞实际影响到的，是公司呼叫服务使用的第三方合作伙伴。尽管如此，该厂商还是决定奖励500美元，并努力修复该问题。

　　虽然Instagram、谷歌和微软都消解了此类攻击，其他在线服务和应用仍有许多存在此类漏洞。斯文顿的研究已于7月15日发布了博客文章里，重点指出，无论公司还是消费者，都非常难以区分普通号码和收费号码。

(责任编辑：宋编辑)