小米短信同步缺陷让父母银行卡被盗十万元

Google 缓存里还有： http://webcache.googleusercontent.com/search?q=cache%3Ahttps%3A%2F%2Fzhuanlan.zhihu.com%2Fp%2F22112908&oq=cache%3Ahttps%3A%2F%2Fzhuanlan.zhihu.com%2Fp%2F22112908&aqs=chrome..69i57j69i58.5078j0j4&sourceid=chrome&ie=UTF-8

我记得同步短信和通话记录 miui 是会先用内置 sim 卡发送短信激活的呀，不然一直是未激活不会同步

@hx1997 我也是想到了 Google Cache 23333

但只有事情闹大了，有关方面才会引起重视，真是一种悲哀

@honeycomb 对 MIUI 熟悉么？这个案例中不知道是否因为 MIUI 跟其他 android 系统一样，第三方的 app 都可以读取短信，导致验证码别偷取的?

如果有小米手机，不需要双清， MIUI8 自带手机分身功能。账号同步互不影响。

@fyooo 从缓存页面中作者的更新
状态更新（ 22 号 1 点 10 分）：小米工作人员连夜与我们联系，得知小米在 8 月 21 号上午检测到了我母亲小米账户正在被撞库攻击，在犯罪分子用浏览器尝试登陆小米云服务、并打开短信同步权限时，下发过手机验证码短信。但存在疑问的是，小米表示下发的验证码被回填，但我们完全不知情，在小米 5 上面也看不到这条验证码短信，其间 SIM 卡完全正常运行。小米表示接受验证码的设备为小米 3 ，推测可能是 SIM 复制卡（存疑待查证）。母亲的手机卡为 4G 卡，理论上旧卡即使被复制也不能够正常接打电话、收发短信。以前我自己换 4G 卡时尝试再次使用旧卡开机，旧卡是连接不到网络的，所以这一点有待查证。
应该可以确认是 miui 同步导致的
来源 http://www.dwz.cn/3ZLKAP

这个事件的重点并不是小米啊，为什么大家都在讨论小米？这个也值得深思

@houzhenhong #67

应该不是复制 SIM 导致的短信验证码泄漏，作者已经说得比较清楚了：『母亲的手机卡为 4G 卡，理论上旧卡即使被复制也不能够正常接打电话、收发短信。』

短信验证码的泄漏倒是容易，国内应用市场乱，随便一个 app 都可以申请读取 sms 权限。在 Android kitkat 之前，甚至可以上行发送短信。

就算是高版本安卓，同样也有静默 root 的漏洞，比如 http://cn.engadget.com/2016/08/08/qualcomm-chip-security-holes/

安卓系短信泄漏的途径很多，防御知识需要请教专家 @honeycomb 了

@qiyuey 任何事把锅丢给小米都是政治正确的事，都 TM 赖本泽马 :P

@3yvsye 招行很扯，新的一网通只能用手机号和数字密码组合，原先的用户名+复杂密码不能用了，我把一网通删掉只用卡号登录还稍微安全一点。
要不是工资卡是招行，早就和它断绝关系了。

上次支付宝出事我已经让我妈把钱存回银行了。让老人家用这些方便但是风险高的东西，一是相对更容易出事。二是出事之后你不在身边的话还更不好办，远程解决问题太麻烦。第三自己出事可以不让家里知道，但是父母出事难受的直接就是他们。

父母就该用诺基亚

说实话， android 就不适合老年人用，他们应当用 iphone 或者 windows 10 mobile

国产的安全意识是比较薄弱的，尤其是打着情怀的公司。
但凡哪家公司的技术团队不出名，我不会放心的使用这样的服务。

@terence4444 右下角可以切换到旧界面吧，我是感觉它家服务做得最好，你数字密码设长一点， 4 次错误就锁号，柜台输入密码好像也比普通银行多一次。其实香港那些银行登录交易都没有那些复杂的验证，可能他们对那些资产保障做得很好，国内的智商要不停充值才行。

Gmail ＋ Goole 身份验证器做两步验证应该没什么问题

Goole -> Google

@3yvsye 我被骗用掌上生活，然后它自说自话把我的用户名删了变成手机号，再也注册不了用户名的一网通了。
这个密码是可以猜的，全数字一共就那么几位，每天试 2-3 次用户也不会发现。

2333.
我想起了 北京移动的短信盒子。