小米短信同步讓父母銀行卡被盜10萬？

　　小米短信同步讓父母銀行卡被盜10萬？事件回顧——究竟哪里出問題了？

　　8月21日晚，一篇《小米短信同步缺陷讓父母銀行卡被盜十萬元》的知乎文章引起關(guān)注，整個事件簡單來說就是：

　　事主父母的浦發(fā)銀行卡被盜刷10萬（含貸款4萬），檢查下來發(fā)現(xiàn)是被人攻破了小米云的密碼，事主父母此前開啟了小米云的“短信同步”服務，導致銀行的驗證短信被截獲。

　　“媽媽的手機是小米5，早上手機收到了小米'新增云同步設備'的通知提醒，二十分鐘后陸續(xù)收到銀行發(fā)送的多條短信驗證碼、多條轉(zhuǎn)賬成功還有貸款成功的通知，時間間隔非常短?！笔轮髦踹@樣寫道。

　　小米“新增云同步設備”的通知提醒截圖如下：

　　事件疑點：

　　1、銀行卡和密碼怎么丟的沒有說清楚。

　　2、銀行為什么給辦理了貸款？

　　3、手機是否中了木馬未知。

　　另外，事主在知乎原文中記錄：“在犯罪分子用瀏覽器嘗試登陸小米云服務、并打開短信同步權(quán)限時，下發(fā)過手機驗證碼”但是事主并不知情，”在小米手機5上也看不到這條驗證短信，期間SIM卡完全正常運行。”小米的說法是，接受這條驗證碼的設備是小米3，推測可能是SIM復制卡，但是如果是復制卡，是可以直接收到銀行驗證短信，那么就無需再通過小米云服務同步短信來操作了。

　　關(guān)于這個說法，雷鋒網(wǎng)也咨詢了資深安全人士，他表示兩邊的邏輯都不完全通——

　　“首先確實事主說的對，如果手機卡已經(jīng)被復制，那么就無須再通過小米云獲取銀行的短信驗證碼。但是事主所說的關(guān)于復制卡就會導致原卡失效也是錯誤的，只有補卡或者換卡的時候會導致原卡失效，復制卡如果成功兩張卡是可以同時使用的?！?/p>

　　也就是說，在成功的情況下，復制卡是可以同時使用的。

　　短信驗證的缺陷

　　這并不是小米第一次因為短信驗證缺陷帶來的盜刷事件。

　　上個月，山西的王先生因為小米賬號被盜，利用小米云服務的短信同步收獲其短信驗證碼，并將事主本人手機里的短信自動刪除，盜刷其銀行存款。

　　而與此類似的是，運營商的“短信托管”服務也曾被詬病，就是因為不法分子會利用非法手段獲取客戶的相關(guān)信息和密碼，再利用客戶信息開通了客戶手機的“短信保管箱”業(yè)務，從而獲取交易驗證短信并盜取資金。

　　運營商一方面推出了短信密碼驗證服務，另外并沒有對短信的安全性進行升級，包括移動的短信托管服務。另一方面，其他部門還是把短信當做是通信服務來看待，認知偏差導致了使用場景和設計場景的偏差。銀行會覺得，你運營商既然開通了短信驗證密碼服務，你就得保護用戶短信的安全。

　　除了以上方法，手機木馬、偽基站、釣魚Wi-Fi都可以被利用從而獲得短信驗證碼，進而盜刷銀行存款。

　　那么，銀行方面為什么不用令牌？除了成本，就是市場對便捷性的追求。

　　“為什么要大力推手機銀行，因為成本，還有創(chuàng)新業(yè)務和增值服務。小米為什么要搞云，因為提高用戶粘度，提供長尾增值服務，說不定還可以通過分析短信內(nèi)容去挖掘用戶習慣。那么安全在哪里呢？安全在業(yè)務推廣和成本壓力下被忽視了，用戶就被赤裸裸地掛在黑暗森林里。”資深安全人士這樣告訴雷鋒網(wǎng)。

　　不僅僅是小米的責任

　　從事主的賬號被盜、云服務同步短信到最后發(fā)生銀行卡盜刷行為，這個過程中涉及：手機廠商、運營商和銀行。

　　客觀來看，這件事光打小米是不合理的。

　　首先小米的云同步不是默認設置的，一般用戶會使用默認設置，如果修改默認設置就意味著后果自負。

　　如圖：

　　其次，法律中的直接后果原則，即有限責任原則：小米提供云服務，只承擔云服務的責任，銀行提供金融服務就承擔金融服務的責任。舉個簡單的例子，比如你用短信發(fā)的商業(yè)機密被泄露了，運營商只需要承擔泄露隱私的責任，而不是賠你合同，承擔泄密的后果。

　　這樣的說法對大多數(shù)用戶來說，顯得過于冰冷。在這件事情中，小米的責任是肯定有的，比如云服務商應該對存放在云端的數(shù)據(jù)有所選擇，比如涉及照片等用戶隱私、銀行信息等敏感數(shù)據(jù)提醒用戶或者默認不同步，并且進行二次驗證。

　　而從用戶角度，銀行卡和密碼又是怎么泄露的？可能的情況實在太多了：

　　是不是家里的網(wǎng)絡有問題？

　　之前是否在不安全的地方用過網(wǎng)銀？

　　小米云備份的短信信息泄露了銀行卡和密碼？（有人會在短信上保存銀行卡密碼等信息）

　　......

　　這個事件其中一個疑點就是貸款問題，如果貸款真的辦下來了，要不就是銀行規(guī)則有漏洞，要不就是銀行內(nèi)部人員操作。因為線上辦貸款，這種事情，即使是浦發(fā)銀行也做不出來的。

　　追究到最后，整個事件的核心問題還是在于銀行的風險管控，畢竟銀行是短信驗證的最終得益者。

　　銀行應該細分場景然后進行風險控制，比如手機支付在2萬元以下，或者可疑的支付行為有電話進行調(diào)查。

　　今天上午，小米方面已經(jīng)積極配合，事主也將內(nèi)容暫時清空，而事件疑點也有待進一步解開。截止雷鋒網(wǎng)發(fā)稿為止，事主的知乎內(nèi)容如下：

    2898站長資源平臺網(wǎng)址導航網(wǎng)站排行榜：http://afrimangol.com/webmain/wzdh.htm