ADVERTISEMENT
筆者日前介紹了透過SS7安全漏洞,竊取Facebook帳號的方法,由於該攻擊手法只需知道受害與Facebook帳號綁定的手機號碼,就能透過「忘記 密碼」的方式,取得帳號的完整共控制權,因此不要將手機號碼登錄至Facebook帳號,就能避免這種攻擊。但是對於已經登錄手機號碼的使用者,也不需太過擔心,使用者仍可手動移除手機號碼,以避免將帳號曝露於風險之下。
在手機上移除已綁定手機號碼
日前筆者曾,攻擊者只要知道受害者的手機號碼,就能使用Facebook的忘記密碼功能,搭配SS7電信系統的漏洞,重設受害者Facebook帳號的密碼,並取得帳號控制權。如果要避免此一資安風險,最直接的方式就是不要將要將手機號碼登錄至Facebook帳號,或是將已登錄的手機號碼移除。
由於筆者在網頁版Facebook中找不到移除手機號碼的選項,因此不確定是否能透過網頁版進行操作。但是在智慧型手機的App版可以正常操作,所以筆者在下方的教學中以iOS版App作為教學範例。
ADVERTISEMENT
▲在操作最初,先點擊Facebook App中右下角的「更多」按鈕,然後往下滑動找到設定「選項」。
ADVERTISEMENT
▲點擊設定之後,再點擊跳出對話框中的「帳號設定」。
▲在設定選單中,點擊「一般」。
ADVERTISEMENT
▲在這邊可以看到自己的帳號資料,如果讀者的App顯示的資訊與範例圖片一樣,有顯示電話號碼的話,代表手機號碼已登錄至Facebook帳號。在這邊點擊「電話號碼」項目,進行設定。
ADVERTISEMENT
▲接下來在目前的電話號碼欄位中,可以看到「移除」選項,點擊「移除」。
▲最後輸入Facebook的密碼,就能移除已登錄的手機號碼。
▲將手機號碼移除之後,再回到帳號資料頁面,就會發現電話號碼欄位已經清空。
無法再透過手機接收認證碼
由於這次介紹的攻擊手法,是在使用Facebook的忘記密碼功能時,攔截透過手機簡訊傳送的認證碼,並讓攻擊者能夠重設受害者Facebook帳號的密碼,並取得帳號控制權,因此只要移除手機號碼之後,就無法再透過手機簡訊傳送的認證碼,因此也可以避開這個攻擊手法。
在筆者移除手號碼之後,再嘗試使用忘記密碼功能,會發現只能以E-Mail接收認證碼,因此就不必擔心被這種攻擊手法竊取Facebook帳號。
▲移除手號碼之後,就無法再透過手機簡訊接受忘記密碼功能的認證碼,因此能夠避開這個資安風險。
延伸閱讀:
ADVERTISEMENT