短信云同步导致银行卡被刷 小米这个锅背得冤吗

时间:2022-10-19 作者 :超级管理员

  短信云同步导致银行卡被刷 小米这个锅背得冤吗移动互联网给我们的生活带来了许多便利,如今我们使用智能手机就能完成许多事情,比如打车、叫外卖、转账付款等等。然而,当我们把自己的信息都放进这个小小的“盒子”时,也意味着我们把自己的信息都交给了制造这个“盒子”和能用非法手段打开这个“盒子”的人,这使得我们的隐私安全受到极大的威胁。

  前两天,一位知乎用户@曹一聪发表了一篇《小米短信同步缺陷让父母银行卡被盗十万元》的文章,详细描述了他母亲是如何因为小米短信云同步功能被盗走了十万元。事情的经过是,8月21日上午,他母亲使用的小米5手机收到了“新增云同步设备”的通知提醒,随后二十多分钟内陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知,其银行卡先后被转走6万多元以及贷款4万多元。

  不法分子之所以能得到他母亲的小米账户,可能是通过撞库攻击进行的暴力破解,然后用破解得到的账户和密码在另外一台小米手机上进行登陆,并通过短信云同步的功能,成功获得浦发银行的验证码短信,提款成功。

  这篇文章随即在知乎上引发了大量关注,这也使得小米再次陷入了舆论的漩涡。因为这已经不是小米第一次因为短信验证缺陷带来的盗刷事件。早在上个月,一位山西用户就因为小米账号被盗,被犯罪分子利用小米云服务短信同步接收验证码功能,盗刷了银行存款。

  这两起盗刷事件可谓是如出一辙,它们共同的争议点是,小米的短信云同步机制、身份验证机制及登陆设备验证机制是否存在漏洞。

  按照小米的说法是,新设备在登陆小米账户时肯定会下发验证码,并且通知类短信同步会有7天延迟。但一些用户在测试后发现,不同版本MIUI和不同型号小米手机之间的短信同步时间会存在差异。并且新设备在登陆绑定了手机号的、完全未使用过的小米账户时,也不需要手机验证码。也就是说,如果直接在另外一台小米手机上登陆小米账户,是不需要通过手机验证码即可登陆,并且还可以同步短信、通讯录、相册等敏感信息。

  值得一提的是,8月22日凌晨1点,小米还强制推送了一次MIUI更新,曹一聪母亲的小米5也收到了MIUI更新自动重启。曹一聪认为,这可能是小米通过系统强制更新,进而修补小米账户云同步的一些漏洞。

  但事实上,这次更新小米只是在账户登录页面新增了一个“声明和条款”,以表示小米不会将用户的信息用于其它商业服务。但用小米手机登陆其它小米账号时,仍不需要通过手机短信验证码就可以登陆,并且还能成功同步所有数据。

  小米自然要承担一部分责任,作为云服务提供商应当要为用户的信息提供更安全的保护机制,尤其是在处理照片、短信、银行信息等敏感数据时,理应提醒用户或进行二次验证。比如iPhone用户在新设备上登陆苹果账号,并试图恢复邮箱、联系人、短信等信息时,都需要通过手机验证码或邮箱验证本人身份。

  当然,银行方面也有很大的责任。通过盗取账户实现转账还能理解,但如果线上就能办理贷款就有点难了,因为贷款通常都需要核对用户的身份信息,而如果线上就办理了贷款就可能是银行存在巨大的漏洞。

  另外,运营商也有一部分责任。虽然运营商推出了短信验证服务,但却一直没有对该服务的安全性进行升级,不法分子完全可以通过手机病毒、伪基站、钓鱼wifi等手段获得短信验证码,从而盗刷银行卡存款。

  而最大的责任还是来自用户自身,曹一聪在文章中写了许多小米的问题,但一直没有透露他母亲丢失银行账号、登陆密码和支付密码的原因。另外,她在收到小米手机“新增云同步设备”通知时也没有作出及时处理,这使得不法分子能够轻松登陆其小米账号,增加了信息泄漏的风险。

  互联网的普及给人们带来了便利,但信息安全问题也随之突显了出来。各种拖库撞库、暴力破解、网络窃听等攻击手段层出不穷,这就要求用户应更加增强信息安全的保护意识,从而避免隐私泄漏或财产损失。