firebase 身份验证中来自黎巴嫩的未知 OTP 请求

Question

我在网站中使用 firebase 电话身份验证并反应本机应用程序。我们的 Firebase 仪表板中收到了约 1,200-1,500 条未知短信。这些都没有得到验证，但我们为此付出了成本。

根据我们的分析软件，我们在过去两天请求了 257 个 OTP。验证数量也与分析相符。这些未知的 OTP 大部分来自黎巴嫩、以色列、东帝汶和巴勒斯坦。我们没有来自这些地区的任何会议。

此外，我们的分析不会报告我们的应用程序或网站上的会话出现任何峰值。

1. 任何人都可以帮助如何阻止这种短信滥用吗？

我已经封锁了这些地区。任何帮助将不胜感激。

在此期间来自客户的 OTP 请求

按地区划分的会议

Firebase 控制台上的 DAU 和 MAU 显示用户 < 400

Answer 1

火力战士在这里

更新（8 月 11 日）：我们发现下面提到的有关 SMS 价格变更的电子邮件未发送到正确的收件人列表。对于由此造成的混乱，我们深表歉意。我们目前已经回滚了账单更改，正在恢复相关的短信费用，并向正确的收件人列表发送了新的通知，其中包含价格更改生效的新日期。此时，使用 Firebase 或 Identity Platform 进行 SMS/电话身份验证的项目的每个计费所有者都应该已收到新消息。

首先，对于您账单上意外的电话身份验证费用，我深表歉意。它与 2023 年 4 月 10 日发送的通知和 2023 年 6 月 12 日发送的提醒相关，主题为“[账单通知]从 2023 年 8 月 1 日开始，Firebase Auth 和 Google Cloud Identity Platform (GCIP) 的新 SMS 定价”。

请联系 Firebase 支持人员，他们可以帮助验证使用情况和配置。与此同时，您现在可以调查以下一些事项，这些事项可以帮助您的项目免受超额费用和潜在滥用的影响：

• 了解您所在区域的短信使用情况
  查看您的短信使用情况并查找发送短信数量非常多且验证短信数量非常少（或零）的区域。发送/验证的比率就是您的成功率。
  
  

• 考虑 SMS 区域策略
  使用SMS 区域来拒绝成功率较低和/或您不希望任何用户使用您的应用程序的 SMS 区域，或者仅允许某些区域。
  

• 限制您的授权身份验证域
  使用身份验证设置仪表板来管理授权域。默认情况下，该localhost域会添加到批准的身份验证域中，您应该考虑在生产项目中将其删除，以防止滥用者在其本地主机上运行代码来访问您的生产项目。

如果您的项目升级到Identity Platform ，则可以使用其他选项：

• 启用并强制执行应用程序检查
  启用应用程序检查可通过验证请求来帮助保护您的项目免遭滥用。在升级之前检查Identity Platform 的定价，并记住您还需要在 Firebase 控制台中强制执行 Firebase 身份验证的应用程序检查。仔细检查您的reCaptcha Enterprise批准站点列表，以验证它是否仅包含您的生产站点。
  
  
  

• 重新配置多重身份验证
  如果您已经有多个提供商，并且可以在没有电话身份验证的情况下进行操作，则您可能希望禁用电话身份验证作为第一个因素选项。这将消除 SMS 作为攻击/滥用媒介的可能性，因为一旦第一个因素得到验证，用户将能够请求 SMS/电话身份验证作为第二个因素。
  
  

除了上述内容之外，您还可以设置预算警报和自动成本控制响应，以帮助防止将来发生这种情况。您可以在创建预算警报和有选择地控制使用情况中找到更多详细信息。请记住，使用 Cloud Functions 停止服务使用将使项目上的所有服务不可用。

Answer 2

Firebase 是否会将其无法防止短信欺诈的事实传递给用户？Firebase 电话身份验证表示它将“验证电话号码登录请求是否来自您的应用”（通过 Play Integrity API、reCAPTCHA 等）。

但是，Firebase 没有为开发人员提供速率限制控制（例如，每个唯一设备/小时仅发送 1 条短信等）。短信由 Google 直接发送，应用程序无法控制此限制。在我看来，AppCheck 在这种情况下也是无用的，因为应用程序表面会生成虚假的 SMS 流量（ SMS 泵送）。那么谷歌希望开发者如何管理使用情况呢？阻止合法国家批发并不是真正的解决方案。