这是一个创建于 3337 天前的主题,其中的信息可能已经有所发展或是发生改变。
事件回顾
8 月 21 日,一位网友父母的银行卡被盗 10 万元,经排查发现原因极有可能是小米云提供的“短信同步”功能以及手机端存在的认证缺陷,导致银行的验证短信被盗号者同步获取。目前案件正在接受警方调查,附上受害方的知乎原文链接: https://zhuanlan.zhihu.com/p/22112908?refer=yicong
根据目前受害方提供的线索,银行卡 10 万元被盗确实极有可能和小米提供的短信备份服务以及可能存在的身份认证机制缺陷有关,但是除了小米之外,三星、华为等知名手机品牌均提供了类似的短信自动备份服务,不仅如此,市面上许多专门的数据备份软件以及云盘都也都包含此功能(经初步测试,百度云、 360 云盘、华为云盘等国内几大云盘均提供了类似的服务),因此不止是小米发生了类似事件,其他提供短信同步的服务商也可能出现类似情况。
经初步测试(测试机为 Android 系统),我发现在手机云服务中的三星云的短信备份服务在登录三星账号时是默认开启的;在几大云盘中, 360 和百度云直接提供短信同步功能,微云不直接提供短信备份(需要额外下载另一个备份软件),百度云盘默认开启短信备份, 360 云盘默认关闭。
短信备份功能通常具有一个特性,就是在 WiFi 环境下会自动备份,作者以百度云为例进行了数次测试。结果显示,在 WiFi 环境下手机接到短信验证码后,基本都能在 15 分钟之内完成数据的同步。
细思极恐,因为一旦你不小心开启了短信备份或忘记关闭,则可能出现这样的场景:
你在安装某软件时不小心将该功能开启(或者主动开启后忘记关闭),过了一段时间,很不幸该账号被盗,盗号者立刻发现你开启了短信同步功能,于是默默监视着一切短信:你的快递单和外卖单、你的网络账号登录操作记录、你的银行卡刷卡记录、你的打车记录、你和朋友之间的通信……总之,他通过短信掌握了你一部分生活轨迹和习惯,当对方收集到了足够详细的信息,便开始实施盗窃。
夜半时分,熟睡的你处在 WiFi 环境(一般家里都是 WiFi 环境),手机中的短信同步自动开启,于是黑客通过你的云账户,趁着你熟睡之际利用短信验证码转走你的银行卡中的 10 万元,于是就发生了和本帖开头类似的事件……
大家最好及时检查自己手机中的各种云盘软件是否开启短信自动备份功能,以及检查自己的加强云盘、手机云服务等账号的密码安全性,增加二步认证等等。
 | 1 loading 2016-08-24 17:34:03 +08:00 via Android  3 目测,楼主应该会推荐大家使用一个叫 洋葱 的密码管理软件。 我自己使用 keepass 。 备注一下。 |
 | 3 jiezhi 2016-08-24 17:52:03 +08:00 之前在知乎上看了后 我就去改了密码,然后发现小米居然支持二次验证,果断开启,希望国内越来越多的服务加入这个二次验证。 |
 | 4 SadNoooo 2016-08-24 17:52:42 +08:00 via iPhone 推广不成反遭骂声,自我感觉良好啊 |
 | 6 subpo PRO 1 我使用了一下, 1. 开屏广告的字体,买授权了吗? 2. 开 app 就问我要定位权限,请问你一个密码管理软件为毛问我要定位权限 |
| 7 subpo PRO 3. chrome 插件基础功能都有 bug ,只能手动新建密码,无法从 input 表单里面读取到(或者压根没做?) 只能删了 |
 | 8 Dexter0 OP 1 @chensuifu 我发帖子时提一下自己产品就是推广,不提自己产品就是”推广不成” 。按照你的逻辑:你一定是暗恋我,否则为什么不向我表白? |
 | 9 Todd_Leo 2016-08-24 18:04:39 +08:00 楼主还是避避风头吧, 这个群嘲开得有点大 |
 | 11 Light3 2016-08-24 18:41:25 +08:00 这个就好像 iPhone 有个定位看你去哪次数多一样 还是本质都是为了帮助人 但是被用到了坏的地方 |
 | 12 dong3580 2016-08-24 19:23:12 +08:00 via Android 歪楼了?可不可以只讨论这个问题。 |
| 13 Dexter0 OP @dong3580 你看 10 楼这货,从我的上一个帖子追过来,抢沙发喷我,还公道自在人心。 我这个帖子就是自己发现云盘会默认开启短信同步,很不安全,想提醒各位注意,仅此而已!!!!! |
| 14 dong3580 2016-08-24 19:29:40 +08:00 via Android |
 | 15 tracymcladdy 2016-08-24 20:01:08 +08:00 via Android block |
 | 16 ctsed 2016-08-24 20:54:24 +08:00 via iPhone 不喜欢洋葱 吃着太呛了 |
 | 17 goofansu 2016-08-24 23:19:33 +08:00 链接 404 了 |
| 18 Dexter0 OP @goofansu https://zhuanlan.zhihu.com/yicong 这是当事人,帖子应该是因为某些原因被删了,今天早上还能打开。 |
 | 19 flynaj 2016-08-25 01:38:42 +08:00 via Android 没有用过小米不要乱说,小米不备份通知类短信。 |
| 20 flynaj 2016-08-25 01:45:46 +08:00 via Android 从这个来看已经很久前就这样了 http://www.miui.com/thread-1593189-1-1.html 可惜一下就把楼主戳破了 |
 | 21 sansam 2016-08-25 06:50:14 +08:00 via iPhone 洋葱,把二次验证做好就够了,保存网页密码的功能有点画蛇添足。排除安全性,对比 authy , authy 可以浏览器插件的方式在电脑上看验证码,这个功能我很喜欢。洋葱手机客户端做的更精致。 |
| 22 sansam 2016-08-25 07:00:24 +08:00 @flynaj http://www.miui.com/thread-2424477-1-1.html 5 楼开发组的答复。另外刚刚登录看了一下我的红米 3S 短信云备份,银行的有,快递的有,全部都备份了 动态密码: 271754 。您尾号****的卡申请开通南京苏宁易付宝网络科技有限公司客户备付金快捷支付,绑定手机号:***********。请勿向他人泄露动态密码。 [工商银行] [速递易] 请凭『******』到*******取快件,免费存放 48 小时。快递详情见 sudiyi.cn (*为手动屏蔽) |
 | 23 syahd 2016-08-25 08:15:50 +08:00 via Android 我记得,小米短信备份是不显示三天内的短信,所以你搞错了吧……… |
Select Language