写在前面:
如果其他品牌手机,不存在类似此风险。
那说明问题的焦点就出在特定品牌的手机身上。
日前,一位使用360手机(即之前的奇酷手机)的范先生,莫名其妙被不法分子“隔空”盗走5万元。
经中国移动和360共同调查和取证,问题的关键出在360手机给用户提供的“云服务”身上。
该服务中的“回复短信”功能,允许“云服务”登陆用户不使用手机就可以所绑定手机号码名义发送短信,打破了后续各个平台或环节的安全防范和验证机制。
而在该用户所遭遇的“离奇”被盗事件中,因为不法分子通过非法手段控制了360手机用户的“云服务”账号,再借助中国移动的主副卡绑定服务,实现了对用户手机的远程“劫持”,最终将用户名下财产实现了转移。
虽然,360已经先行赔付了该用户的时机损失,但是,此案例所暴露出的跨平台安全机制隐患或漏洞,还是令人触目惊心的。
尤其是正在使用360手机的用户,应尽早修改相应服务密码,以防类似惨剧发生在自己身上。
当然, 对于其他品牌的手机厂商,也需要“举一反三”,反思或审查下自身的手机安全机制是否存在类似“短板”或“可趁之机”,如有应尽早调整或完善,避免悲剧重演。
文/李俊慧(微信公号:lijunhui0507)
原本都是为了用户的安全或隐私保护设置的防范机制,但是,不同平台之间的安全防范机制缺乏“统一性”或“系统性”,反而被不法分子利用,成为侵害用户财产的全新方式或重要手段。
日前,发生在360手机用户、何先生身上的一起“隔空盗窃案”,可谓匪夷所思。
从手机使用来看,何先生因为使用360手机,是360手机用户,而从入网角度看,何先生办理的是中国移动的SIM卡,因此,也是中国移动的用户。
但令人哭笑不得是,由于何先生同时是360手机用户和中国移动用户,反而给自己带来了不必要的麻烦,致使个人银行资金被“隔空盗窃”,损失高达5.3万元。
安全机制:各平台基于用户利益保障的共同选择
360手机为了保障用户隐私安全,为360手机用户提供了一系列“云服务”,包括“销毁资料”等远程控制手机技术服务。
该服务的使用场景原本是,当用户手机不慎遗失或丢失后,为避免存储在手机中的重要个人资料,比如图片、文档及视频等发生外泄,允许360手机用户通过PC或其他设备登陆“云服务”账号,通过远程“销毁手机中的各种资料”。
可以说,这项服务本身对于用户的隐私保护价值或作用还是很大。
而中国移动为了用户隐私安全,避免用户个人号码随意外泄,同时免受营销、诈骗等电话骚扰,为用户提供了“副号码”服务。
开通该服务后,用户可在不更换手机和SIM卡的情况下,获得一个或多个虚拟的号码(即副号码),并实现用副号码接打接听电话和收发短信的功能。
这样,对于需要提供个人联系方式的场合或不想接听来电时,用户可以通过预留副号码信息或借助副号码功能实现对来电的区分、标记和黑名单管理等。
可以说,不论是360手机的安全“云服务”,还是中国移动的“副号码”服务,其本意原本都是为了更好的保障用户隐私。
化学反应:跨平台安全机制缺乏统一性反成“漏洞”
但是,当这两种安全机制发生“化学反应”,被不法分子利用后,却成了实施手机劫持、隔空盗窃的工具,而何先生则成了首个被媒体曝光的“受害者”。
根据中国移动和360的合作调查取证显示:
1)360手机用户何先生的“云服务”账号被不法分子破解并登陆,然后,不法分子登陆360手机用户何先生的“云服务”账号后,利用“云服务”提供的“回复短信”功能,为何先生的手机号码开通了中国移动“副号码”服务,完成主副卡号绑定。
2)不法分子利用360手机云服务“找手机-销毁资料”功能,频繁发起“销毁资料”指令,使得360手机用户何先生虽然手机在手,但是因被远程操控执行“销毁资料”指令,使得其手机长时间处于离网状态。
简单说,在此期间,不法分子利用360“云服务”和中国移动“副号码”功能有效“劫持”了何先生的正常通信。
3)在“通信劫持”期间,不法分子借助中国移动“副号码”功能接收何先生的各类短信验证码,入侵京东账号用白条消费1000元,并在线申请贷款52000元,转入何先生名下中国银行卡,随后,将52000元资金转账至犯罪嫌疑人账户,同时还利用ATM机无卡取款2000元,累计给何先生造成5.3万元损失。
回溯整个过程,从360手机、中国移动、京东、银行等资金被盗所涉各个环节,似乎各方都没有责任。
首先,何先生的360“云服务”账号外泄和密码被破解,账号外泄环节的责任很难确定是何先生的责任,还是360手机的责任,而密码破解,显然不属于何先生或360手机任何一方的责任。
其次,中国移动“副号码”的开通或主副卡绑定操作,中国移动并无过错。
其三,何先生京东账号被入侵,发生消费和贷款,京东平台也无过错。
其四,何先生网上贷款体现至银行,并转账至犯罪嫌疑人名义,全过程有短信验证码确认身份,银行也很难有过错。
那么,何先生的损失到底应该由谁来承担?
用户损失:那个环节的安全机制存在重大缺陷需承担较重责任
显然,问题的关键显然不在何先生的360云服务账号被盗,而在于360“云服务”特定功能的严谨性。
比如“回复短信”功能即授权劫持机主手机短信回复功能,其本意应该是为了方便手机遗失或被盗用户,远程操控完成特定功能的取消。
比如“销毁资料”功能原本是方便用户远程删除一些内容。
但是,这些安全功能被不法分子“劫持”后,则成为不法分子打开各类平台安全防盗门的“钥匙”,使其畅通无阻。
归根到底,在于启用或启动上述360云服务“安全机制”时,缺乏更加安全的验证机制,比如登陆或功能触发时,采用人脸识别技术或指纹识别技术等安全系数更高的身份识别机制。
之所以应该启用更加安全的验证机制,是因为360云服务“安全机制”功能十分强大,比如远程控制短信回复等,如果被不法分子利用将给用户带来更大的损失。
而针对上述验证环节存在的不足或风险,360公告称,1)加强弱密码和异常登陆的监测和风险控制,2)对云服务远程管理手机的重要功能开启密保问题或短信验证码的二次验证。
由此可见,从所涉各方或各环节,360手机所应担负的注意义务或安全保障责任应该更大一些。
目前对于何先生的损失,360已对何先生先行赔付5.3万元。
但是,该案例所暴露的不同厂商或平台“安全机制”发生“化学反应”可能被不法分子利用的问题,可能更值得深思。
孤立的看,每个厂商的安全机制似乎都很安全,但是,一旦安全机制发生交叉或“化学反应”,似乎变得更不安全。
如何构建具有更高“统一性”或“系统性”的跨平台、综合性安全机制,亟待更相关厂商共同参与和完善。
附:中国移动和360关于该用户资金被盗事件的声明
李俊慧,中国政法大学知识产权研究中心特约研究员,长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。
曾参编高等院校法学专业教材《电子商务法》,并就著作权、商标、专利、域名等知识产权及电子商务监管相关问题接受过中央电视台、中央人民广播电台、北京电视台等电视及《人民日报》、《21世纪经济报道》、《华夏时报》、《彭博新闻周刊》等报纸、杂志的采访。
在《法治周末》、百度百家、腾讯、新浪、搜狐、网易、钛媒体、donews、今日头条等媒体开设有个人专栏。
同时,还是“2015年度腾讯科技自媒体年度作者”、“搜狐科技精英自媒体排行榜上榜作者”、“2015年度钛媒体十大作者”等。
我的“梦想赞助者”鸣谢(排名不分先后):1梦想极客李定才、谢家耀、云姐家务、shishi是四石、老油、victor、无法无天、瞧瞧善友善报、树叶、花样拔河01、家和美黄正茂、天意、宋毅、六香君、杨洁、张瑜、紫阳、沈军安、徐如林、刘秋成、张宇海、耿晨、二师兄、汪炜、朱翊、汪智勇、钱燕、张月梅、木子、季正卫、李江远、汪璇、carol晁、罗马、H&M、宋鹏展、janet、兑兑泽、MEET、卢文哲、宋志轩、大熊、陈文祥、张跃耀、王嘉晟、李海得、有翼飞翔的话语、你好~W先生、sishi是四石、六六(Linda)、王琪、谭华霖、Tina、尼納納、赵占领、一米阳光、北洋岸花地男、Daz_Chen、肖然、牛牛、丹朱、程祺▪
