8 月 21 日,一位网友父母的银行卡被盗 10 万元,经排查发现原因极有可能是小米云提供的“短信同步”功能以及手机端存在的认证缺陷,导致银行的验证短信被盗号者同步获取。目前案件正在接受警方调查,附上受害方的知乎原文链接: https://zhuanlan.zhihu.com/p/22112908?refer=yicong
根据目前受害方提供的线索,银行卡 10 万元被盗确实极有可能和小米提供的短信备份服务以及可能存在的身份认证机制缺陷有关,但是除了小米之外,三星、华为等知名手机品牌均提供了类似的短信自动备份服务,不仅如此,市面上许多专门的数据备份软件以及云盘都也都包含此功能(经初步测试,百度云、 360 云盘、华为云盘等国内几大云盘均提供了类似的服务),因此不止是小米发生了类似事件,其他提供短信同步的服务商也可能出现类似情况。
经初步测试(测试机为 Android 系统),我发现在手机云服务中的三星云的短信备份服务在登录三星账号时是默认开启的;在几大云盘中, 360 和百度云直接提供短信同步功能,微云不直接提供短信备份(需要额外下载另一个备份软件),百度云盘默认开启短信备份, 360 云盘默认关闭。
短信备份功能通常具有一个特性,就是在 WiFi 环境下会自动备份,作者以百度云为例进行了数次测试。结果显示,在 WiFi 环境下手机接到短信验证码后,基本都能在 15 分钟之内完成数据的同步。
细思极恐,因为一旦你不小心开启了短信备份或忘记关闭,则可能出现这样的场景:
你在安装某软件时不小心将该功能开启(或者主动开启后忘记关闭),过了一段时间,很不幸该账号被盗,盗号者立刻发现你开启了短信同步功能,于是默默监视着一切短信:你的快递单和外卖单、你的网络账号登录操作记录、你的银行卡刷卡记录、你的打车记录、你和朋友之间的通信……总之,他通过短信掌握了你一部分生活轨迹和习惯,当对方收集到了足够详细的信息,便开始实施盗窃。
夜半时分,熟睡的你处在 WiFi 环境(一般家里都是 WiFi 环境),手机中的短信同步自动开启,于是黑客通过你的云账户,趁着你熟睡之际利用短信验证码转走你的银行卡中的 10 万元,于是就发生了和本帖开头类似的事件……
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.