小米短信同步缺陷让父母银行卡被盗十万元

2016-08-21 22:32:24 +08:00
 laodao
https://zhuanlan.zhihu.com/p/22112908?refer=yicong
9820 次点击
所在节点    分享发现
100 条回复
hx1997
2016-08-22 10:23:50 +08:00
Rabbit52
2016-08-22 10:30:44 +08:00
我记得同步短信和通话记录 miui 是会先用内置 sim 卡发送短信激活的呀,不然一直是未激活不会同步
tSQghkfhTtQt9mtd
2016-08-22 10:36:42 +08:00
@hx1997 我也是想到了 Google Cache 23333
houzhenhong
2016-08-22 10:37:09 +08:00
但只有事情闹大了,有关方面才会引起重视,真是一种悲哀
fyooo
2016-08-22 10:39:31 +08:00
@honeycomb 对 MIUI 熟悉么?这个案例中不知道是否因为 MIUI 跟其他 android 系统一样,第三方的 app 都可以读取短信,导致验证码别偷取的?
lzhd24
2016-08-22 10:47:05 +08:00
如果有小米手机,不需要双清, MIUI8 自带手机分身功能。账号同步互不影响。
houzhenhong
2016-08-22 10:47:34 +08:00
@fyooo 从缓存页面中作者的更新
状态更新( 22 号 1 点 10 分):小米工作人员连夜与我们联系,得知小米在 8 月 21 号上午检测到了我母亲小米账户正在被撞库攻击,在犯罪分子用浏览器尝试登陆小米云服务、并打开短信同步权限时,下发过手机验证码短信。但存在疑问的是,小米表示下发的验证码被回填,但我们完全不知情,在小米 5 上面也看不到这条验证码短信,其间 SIM 卡完全正常运行。小米表示接受验证码的设备为小米 3 ,推测可能是 SIM 复制卡(存疑待查证)。母亲的手机卡为 4G 卡,理论上旧卡即使被复制也不能够正常接打电话、收发短信。以前我自己换 4G 卡时尝试再次使用旧卡开机,旧卡是连接不到网络的,所以这一点有待查证。
应该可以确认是 miui 同步导致的
来源 http://www.dwz.cn/3ZLKAP
qiyuey
2016-08-22 11:03:49 +08:00
这个事件的重点并不是小米啊,为什么大家都在讨论小米?这个也值得深思
fyooo
2016-08-22 11:10:44 +08:00
@houzhenhong #67

应该不是复制 SIM 导致的短信验证码泄漏,作者已经说得比较清楚了:『母亲的手机卡为 4G 卡,理论上旧卡即使被复制也不能够正常接打电话、收发短信。』

短信验证码的泄漏倒是容易,国内应用市场乱,随便一个 app 都可以申请读取 sms 权限。在 Android kitkat 之前,甚至可以上行发送短信。

就算是高版本安卓,同样也有静默 root 的漏洞,比如 http://cn.engadget.com/2016/08/08/qualcomm-chip-security-holes/

安卓系短信泄漏的途径很多,防御知识需要请教专家 @honeycomb
Sivan
2016-08-22 11:11:53 +08:00
@qiyuey 任何事把锅丢给小米都是政治正确的事,都 TM 赖本泽马 :P
terence4444
2016-08-22 11:16:14 +08:00
@3yvsye 招行很扯,新的一网通只能用手机号和数字密码组合,原先的用户名+复杂密码不能用了,我把一网通删掉只用卡号登录还稍微安全一点。
要不是工资卡是招行,早就和它断绝关系了。
qiumaoyuan
2016-08-22 13:12:55 +08:00
上次支付宝出事我已经让我妈把钱存回银行了。让老人家用这些方便但是风险高的东西,一是相对更容易出事。二是出事之后你不在身边的话还更不好办,远程解决问题太麻烦。第三自己出事可以不让家里知道,但是父母出事难受的直接就是他们。
strwei
2016-08-22 13:51:49 +08:00
父母就该用诺基亚
mxonline
2016-08-22 15:13:42 +08:00
说实话, android 就不适合老年人用,他们应当用 iphone 或者 windows 10 mobile
konakona
2016-08-22 15:26:31 +08:00
国产的安全意识是比较薄弱的,尤其是打着情怀的公司。
但凡哪家公司的技术团队不出名,我不会放心的使用这样的服务。
3yvsye
2016-08-22 15:30:17 +08:00
@terence4444 右下角可以切换到旧界面吧,我是感觉它家服务做得最好,你数字密码设长一点, 4 次错误就锁号,柜台输入密码好像也比普通银行多一次。其实香港那些银行登录交易都没有那些复杂的验证,可能他们对那些资产保障做得很好,国内的智商要不停充值才行。
chengzhoukun
2016-08-22 15:41:27 +08:00
Gmail + Goole 身份验证器做两步验证应该没什么问题
chengzhoukun
2016-08-22 15:41:50 +08:00
Goole -> Google
terence4444
2016-08-22 15:52:44 +08:00
@3yvsye 我被骗用掌上生活,然后它自说自话把我的用户名删了变成手机号,再也注册不了用户名的一网通了。
这个密码是可以猜的,全数字一共就那么几位,每天试 2-3 次用户也不会发现。
Felldeadbird
2016-08-22 16:04:07 +08:00
2333.
我想起了 北京移动的短信盒子。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/300830

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX