微信更改手机号码的 bug

2016-08-26 12:15:38 +08:00
 mason961125

因为新办了一张校园卡,准备用新卡,所以就更换了微信的手机号。但是更换手机号时,并没有要求验证原来的手机号,而是直接给新号码发验证码,这样难道不算是一个安全上的 bug 吗?

3570 次点击
所在节点    微信
17 条回复
mrjoel
2016-08-26 12:16:57 +08:00
登录验证机制非常严格,登录成功了就不再验证了。
BROWNURSIDAE
2016-08-26 12:34:18 +08:00
因为你已经登陆了啊朋友。。。
Clarencep
2016-08-26 13:32:15 +08:00
一般人手机上微信这种 APP 默认肯定是登录状态。 所以呢,手机一定要设锁屏密码,不要随便把手机借给不信任的人用,否则他 /她把你的微信 /QQ/支付宝 /京东等 APP 都换了号码盗了你的号你都一点也不知道。
zchzch1014
2016-08-26 13:39:00 +08:00
我觉得不算,首先是楼上几位说的登录机制的问题,还有要是你原来的手机号不能用了怎么办?
mason961125
2016-08-26 13:42:15 +08:00
@zchzch1014 这个应该算是一个理由。
@BROWNURSIDAE 手机被盗,恰好锁屏被解开的情况下,不就 gg 了?
BROWNURSIDAE
2016-08-26 13:44:09 +08:00
@mason961125 那就是你自己的问题了。。。刚好被盗不设置锁屏。。。
mason961125
2016-08-26 13:46:07 +08:00
@BROWNURSIDAE 从 Android 转到 iOS 上一直是有锁屏密码和 TouchID 的。我说的是那种恰巧锁屏被破解的情况。
liangguan5
2016-08-26 13:52:31 +08:00
看到 1 、 2 楼解释要笑坏了。。。

如果属实(原手机就这样被解绑了),这的确是安全漏洞,求大神们理性分析一下
ys0290
2016-08-26 14:05:04 +08:00
如果已经登陆了,换个人难道就拿不到验证码了吗?
DearTanker
2016-08-26 14:08:56 +08:00
楼主自己假装别人拿个新号码新手机来搞自己的账号,试试期间会遇到一些什么问题,别因为只是一步更换绑定手机号就觉得已经完了。
TangMonk
2016-08-26 14:10:07 +08:00
支付宝好像也是这样的
tracedocting
2016-08-26 14:11:48 +08:00
Apple ID 更改主邮箱(即登录帐号)也是一样,不需要给旧邮箱发送验证码。如果密码薄弱,没有开启两步验证,被盗号锁 ID 改帐号,然后购机发票没办法找到,你就再也没办法解锁手机了。 #身边活生生的例子
imn1
2016-08-26 14:15:10 +08:00
outlook 印象中更换 2FA 也是直接操作
twitter 好像也是

google 和 appleid 在重要操作时,即使在信任设备,也有再次问密码或安全问题的步骤

outlook/google 都会发送提醒 email 到安全邮箱,可取消操作,但我没试过

个人觉得需要做到登录状态和本人操作两个验证才算合格,后者比较难实现,所以再次输入密码只能算勉强合格
安全邮箱可以取消操作倒是一个比较好的做法,不仅安全方面,也可以避免本人误操作,也提供“后悔药”选择
moonkiller
2016-08-26 14:48:34 +08:00
lz 你有没有考虑需要原来手机验证也会带来问题的
如果你原来的手机已经停机了咋办
BROWNURSIDAE
2016-08-26 14:53:49 +08:00
@liangguan5 万一你原手机不用并且被重新发号了呢?这并不可笑,不是安全漏洞
justina25
2016-08-26 15:12:06 +08:00
这个地方,不要验原手机,验一下登陆密码 朱军觉得如何呀?
lyric
2016-08-30 02:32:10 +08:00
不是 bug ,当初这个功能的设计就是这样,后来我接手后保持了这个逻辑。

@mason961125 手机被坏人物理接触,基本上除了支付,别的都 GG 了。但是有紧急锁定的方法,参考 https://weixin110.qq.com/security/readtemplate?t=security_center_website/tools

@DearTanker 是的,后续安全策略挺苛刻。

@zchzch1014 你说的对。

@BROWNURSIDAE 你说得对。

@justina25 不好,很多微信用户没密码,日常也接触不到密码,所以懵逼。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/301898

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX