如何看待@曹一聪《小米短信同步缺陷让父母银行卡被盗十万元》的文章?

@陈德碧 提供了截图 zhuanlan.zhihu.com/p/22
关注者
706
被浏览
68636
看到这个问题,我也验证了一下小米账户的安全机制。
首先我们能看到小米手机的小米账户这里是有“登录设备管理”和“账号保护”这两项的。

点开登录设备管理,能看到当前设备


再点开其他设备,没有登录其他设备。需要注意的是,这里显示的设备好像只显示手机,如果你登录了电脑,是不会显示的。


而打开账号保护,是如下界面,能看到通过验证的设备。而这里是能看到是否登录过浏览器。


我在另一台未验证过的小米手机上登录我的小米账号时,是这样的。需要账号绑定的手机号短信验证。




在电脑上登录云服务是这样的。也需要短信验证。

未验证的设备都是需要短信验证码的,这说明小米账户在登录机制上是没有问题的。如果说在另一台手机上登录却不需要验证码,那我认为最大的可能性是,这台手机曾经登录过这个账号,是已经被验证过的。如果没有,那可能是小米云的服务器抽风,出bug了,但是它的机制是没问题的。

顺便说一下,“登录设备管理”下面的那个“账号保护”之前是没有的,包括我今天试的另一台小米手机也没有,应该是最近更新的。开启后,在新设备上登录需要验证。那么有人就要问了,没有这项功能的是不是不需要验证?我的经验是也需要,因为之前我也经常在其他设备上登录,只要是第一次都需要短信验证码,包括今天我未开启那个的时候在电脑上登录也需要,不然你看不到云里的内容。
所以关于当事人说在电脑上登录需要验证码,而在另一台手机上不需要,我猜测是不是因为这个功能的加入,导致了内部出现了逻辑bug。因为之前没有此项功能的时候需要验证,而加入新功能之后如果没有开启会不会导致不要验证呢?

很多人吐槽说什么短信内容,通话记录这些干嘛要同步到云端,完全是因噎废食,你不需要的东西大有人需要。并且这些功能是可以选择开启关闭的,你说老人不会关,你可以帮他们关啊。智能时代,连个云服务都没有还算什么智能,况且现在所有的厂商都在构建自己的云服务体系,大势所趋,你说不要就不要?
还有一点,小米的云同步对于短信验证码通知类短信有一项安全机制,就是你在云端是看不到近几天的内容。如图,这些都是验证码通知短信。


况且仅靠验证码就能盗刷银行卡吗?骗子是如何得知你的银行卡号及密码的?当事人没有详细说明是通过什么途径刷走银汉卡里的钱的,我们也不好猜测到底哪个地方才是导致被盗刷的关键,是小米的云服务?银行的机制?还是你个人平时的不注重隐私的习惯导致的?

就像有人说的,你这是同时丢了小米账户及密码,银行卡号及密码,或者说是网银/支付宝的登录和支付密码啊!导致损失的问题主要在哪方要靠小米、银行、警方的联合调查才行。但是啊,当事人的安全意识有很大问题这是很明显的。自己的银行卡被人拿去申请贷款,这犯罪分子得知道你多少隐私信息啊?身份证、银行卡号、手机号、密码。。。也许小米账号被盗,验证信息被犯罪分子用软件拦截,成为压死骆驼的最后一根稻草,但是在此之前你自己泄露了多少东西出去是最主要的。

说句实话,不管是国内还是国外,你相信有绝对安全的服务器吗?不可能的,任何网络系统,服务器只要联网,都是有漏洞的。不能指望别人代替你保护隐私,所以平时多注意是关键。不要随便去什么地方就输对自己很重要的密码,还有不要把所有的账户密码都设成一样的,碰到不正常的网站,要及时查看自己的账号是否出现异常,经常改密码是个好习惯。