關於「小米手機雲服務」所需做的安全措施

01-30

好吧，我不是小米公司的，剛才無意瀏覽到@曹一聰知友的專欄文章（http://zhuanlan.zhihu.com/p/22112908），他在文中稱「小米簡訊同步缺陷讓父母銀行卡被盜十萬元」，有興趣的知友可以瀏覽一下，大致問題是因為小米雲服務在其他登陸同帳號進行設備訪問時有驗證不嚴的問題（跳過驗證直接下載簡訊，可攔截驗證碼實現非法行為）。

曹一聰知友所遭遇的，大概就是因為小米帳號被盜，然後犯罪分子通過這枚帳號進行其他設備的登陸，然後同步（下載）簡訊獲取相關銀行的驗證碼，從而實現了轉賬操作。

之所以寫這篇文字，是因為我也是小米雲服務的用戶，藉此給所有使用小米雲服務的提個醒：

務必把你的小米帳號提升為最高的安全級別，務必要使用並開啟「小米安全令牌」，這樣不論是什麼帳號，只要這個帳號登陸了，就必須使用令牌的密碼，否則無法登陸；
取消並關閉不必要或有安全隱患的「授權」或「綁定」，並在登陸設備時不要勾選「私人免登陸」類似的選項（類似於網站上的「記住密碼」）；
當你的手機把安全級別設置為最高（100%）的時候，哪怕同個設備刷機了，也依然要通過手機來驗證許可，如果驗證不通過，那麼你的設備也是無法成功登陸小米帳號的。

但即便如此，也務必警惕使用各類手機的雲服務和雲盤，要定期修改你的密碼、定期修改及驗證密保、定期登陸雲服務和雲盤帳號的官方頁面檢查有無「異地登陸」或「設備綁定」的現象，如果有，務必及時採取鎖定措施並聯繫官方客服，必要時也可以進行報警處理。對於重要的數據文件，建議定期進行本地多盤備份(硬碟+移動存儲)，硬碟有價，數據無價！

像曹一聰知友的問題，很可能是他父母的銀行信息、身份信息、小米帳號均被盜取，又碰巧小米雲服務有技術性的驗證缺陷，所以上述因素直接導致被心懷不軌的人鑽了空子。關於小米的雲服務驗證不嚴的缺陷，這裡還得@雷軍老師，這個Bug的性質還是蠻嚴重的，根本不需要什麼技術，跟當年Windows用智能ABC彈出輸入法幫助文檔跳過登陸驗證是一個道理。

我的建議：

目前可以從「信息如何被泄漏」這個切入口給浦發銀行和警方施壓，否則即便不法分子攔截了你父母的簡訊，也沒法執行轉賬操作，所以這個人是怎麼得到如此多的信息，非常值得懷疑。是否是銀行工作人員借口拿你了父母的手機？問了他們密碼？然後進行社工撞庫？都不好說。

上面我強烈推薦使用小米雲服務的朋友裝「小米安全令牌」，另外還推薦常上QQ的朋友們安裝鵝廠的「QQ安全中心」，常用360的朋友們安裝「360帳號衛士」，其他大公司的軟體都會有類似的「安全令牌或安全中心」，個人建議老老實實安裝，老老實實把自己的帳號安全等級提升到最大級別，我知道高手們都喜歡裸奔，但高手們的父母和女朋友裸奔就會很悲劇。

此外，有知友說我為什麼不順便推薦小米之外的手機？

恕我直言，在當今互聯網的世界，哪來的「絕對安全」可言？你換了iPhone或其他手機又能怎樣？如果你缺乏足夠的安全意識，那麼小兒科的社工依然能盜走你的個人信息甚至是錢財。把「安全」寄託於某個廠家或某個設備，是典型的偷懶行為。只有提高安全意識，具備一定的防範措施，養成本地勤備份勤查詢的好習慣，才是重中之重。

良心建議，希望能幫到各位，安全問題，不容小視。

PS：為了確保文章的嚴謹性，剛才用備用手機登陸，提示必須要口令，之後又用同設備退出後重新登陸，提示仍然需要口令，怎麼說呢，我認為如果裝上小米安全令牌，並將安全措施提升到最高級，那麼這個風險是可以規避的。

截止目前，作者專欄提示小米方面在積極配合併協助警方調查，希望曹一聰可以追回損失。

關於我對這件事的看法：https://www.zhihu.com/question/49872008/answer/118224051