小米短信云同步安全缺陷导致被盗10万 看短信同步背后的风险

本文由身份认证服务商洋葱(yangcong.com)出品，作者洋葱内容运营谢幺，转载请注明作者及出处。

事件回顾

8月21日，一位网友父母的银行卡被盗10万元，经排查发现原因极有可能是小米云提供的“短信同步”功能以及手机端存在的认证缺陷，导致银行的验证短信被盗号者同步获取。目前案件正在接受警方调查，附上受害方的知乎原文链接： https://zhuanlan.zhihu.com/p/22112908?refer=yicong

根据目前受害方提供的线索，银行卡10万元被盗确实极有可能和小米提供的短信备份服务以及可能存在的身份认证机制缺陷有关，但是不难发现，除了小米之外，三星、华为等知名手机品牌均提供了类似的短信自动备份服务，不仅如此，市面上许多专门的数据备份软件以及云盘都也都包含此功能(经初步测试，百度云、360云盘、华为云盘等国内几大云盘均提供了类似的服务)，因此不止是小米发生了类似事件，其他提供短信同步的服务商也可能出现类似情况。

作者在测试几大网盘是否带有短信备份功能时，无意中发现自己手机中百度云盘的短信自动备份功能竟然是开启状态，于是在电脑上登录了网页版的百度云盘，在【短信】一栏中发现自己的所有短信内容一览无余，而自己毫不知情，很可能正是由于自己的疏忽，导致当初安装该软件时并没有注意这些默认开启的功能。

经初步测试(测试机为Android系统)，作者发现在手机云服务中的三星云的短信备份服务在登录三星账号时是默认开启的;在几大云盘中，360和百度云直接提供短信同步功能，微云不直接提供短信备份(需要额外下载另一个备份软件)，百度云盘默认开启短信备份，360云盘默认关闭。

短信备份功能通常具有一个特性，就是在WiFi环境下会自动备份，作者以百度云为例进行了数次测试。结果显示，在WiFi环境下手机接到短信验证码后，基本都能在15分钟之内完成数据的同步。

细思极恐，因为一旦你不小心开启了短信备份或忘记关闭，则可能出现这样的场景：

你在安装某软件时不小心将该功能开启(或者主动开启后忘记关闭)，过了一段时间，很不幸该账号被盗，盗号者立刻发现你开启了短信同步功能，于是默默监视着一切短信：你的快递单和外卖单、你的网络账号登录操作记录、你的银行卡刷卡记录、你的打车记录、你和朋友之间的通信……总之，他通过短信掌握了你一部分生活轨迹和习惯，当对方收集到了足够详细的信息，便开始实施盗窃。

夜半时分，熟睡的你处在WiFi环境(一般家里都是WiFi环境)，手机中的短信同步自动开启，于是黑客通过你的云账户，趁着你熟睡之际利用短信验证码转走你的银行卡中的10万元，于是就发生了和文章开头类似的事件……

关键的问题就在于，既然作者都能想到这种盗号手法，那么对于专业的黑客来说，他们很可能会在盗取的大量云服务账号中筛选出开启了短信同步的功能的用户，然后利用获取的短信内容实施类似的盗窃手段。

我们都知道，问题的本质在于当然还是在于将短信认证的不安全性，短信原本设计出来就是用来通讯而不是认证的，只不过由于其便捷和低成本的原因而被作为身份认证方式，但无论如何，在短时间内我们无法改变短信认证大行其道的现状。而短信备份功能的存在本身就是有一定实用价值的，否则各大云服务就不会热衷于提供此功能，甚至自动开启。那么在这种情况下，各种手机厂商、云盘厂商以及用户本身应该怎么做，才能尽可能地降低短信同步造成的风险呢?

降低短信同步风险的建议

对于云服务商来说，首先，默认开启短信自动备份功能，很容易导致操作者在对该功能的开启不知情，这种做法和以前的捆绑安装软件时默认勾选选项的做法类似，如果出于安全考虑，是不可取的。其次，一旦用户开启短信认证服务，该云服务的账号安全性就非常重要了，可以定时提醒用户开启二步认证或者增加其他安全选项。

此外，是在WiFi环境下自动同步备份短信，可以稍微延迟15~30分钟来完成，一般来说，短信验证码都会设置15~30分钟的有效时间，只要在云同步时稍微延迟，黑客就无法在验证码有效期内实时获取，从而在一定程度上降低风险。

对于个人来说，应及时检查自己手机中的各种可能默认开启短信功能的是否开启了短信同步功能。如果开启了，一定要及时关闭或对云服务的账号添加二次认证、及时修改自己的账户密码，提高密码的复杂性等。毕竟此次银行卡10万被盗事件即使是因为小米短信同步导致，也必须是受害者的小米账号被盗在先，黑客才可能看得到同步的短信。

在事情发生的第一时间，但许多人的目光依然聚焦在“谁来背锅?”以及“短信认证是否可靠”的问题上。显然，此次事件不会是偶然，因为短信实时备份作为许多人常用的功能，因此在现有条件下如何降低风险，才是我们正应该关心的。

注：截止作者投稿时，再次使用百度云盘进行多次测试，发现短信同步时间延迟到了30分钟左右，很可能是开发人员出于安全考虑进行了调整，但其他短信同步的使用情况尚且为知。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!