文/李俊慧

　　原本都是为了用户的安全或隐私保护设置的防范机制，但是，不同平台之间的安全防范机制缺乏“统一性”或“系统性”，反而被不法分子利用，成为侵害用户财产的全新方式或重要手段。

　　日前，发生在360手机用户、何先生身上的一起“隔空盗窃案”，可谓匪夷所思。

　　从手机使用来看，何先生因为使用360手机，是360手机用户，而从入网角度看，何先生办理的是中国移动的SIM卡，因此，也是中国移动的用户。

　　但令人哭笑不得是，由于何先生同时是360手机用户和中国移动用户，反而给自己带来了不必要的麻烦，致使个人银行资金被“隔空盗窃”，损失高达5.3万元。

　　安全机制：各平台基于用户利益保障的共同选择

　　360手机为了保障用户隐私安全，为360手机用户提供了一系列“云服务”，包括“销毁资料”等远程控制手机技术服务。

　　该服务的使用场景原本是，当用户手机不慎遗失或丢失后，为避免存储在手机中的重要个人资料，比如图片、文档及视频等发生外泄，允许360手机用户通过PC或其他设备登陆“云服务”账号，通过远程“销毁手机中的各种资料”。

　　可以说，这项服务本身对于用户的隐私保护价值或作用还是很大。

　　而中国移动为了用户隐私安全，避免用户个人号码随意外泄，同时免受营销、诈骗等电话骚扰，为用户提供了“副号码”服务。

　　开通该服务后，用户可在不更换手机和SIM卡的情况下，获得一个或多个虚拟的号码（即副号码），并实现用副号码接打接听电话和收发短信的功能。

　　这样，对于需要提供个人联系方式的场合或不想接听来电时，用户可以通过预留副号码信息或借助副号码功能实现对来电的区分、标记和黑名单管理等。

　　可以说，不论是360手机的安全“云服务”，还是中国移动的“副号码”服务，其本意原本都是为了更好的保障用户隐私。

　　化学反应：跨平台安全机制缺乏统一性反成“漏洞”

　　但是，当这两种安全机制发生“化学反应”，被不法分子利用后，却成了实施手机劫持、隔空盗窃的工具，而何先生则成了首个被媒体曝光的“受害者”。

　　根据中国移动和360的合作调查取证显示：

　　1）360手机用户何先生的“云服务”账号被不法分子破解并登陆，然后，不法分子登陆360手机用户何先生的“云服务”账号后，直播，利用“云服务”提供的“回复短信”功能，为何先生的手机号码开通了中国移动“副号码”服务，完成主副卡绑定。

　　2）不法分子利用360手机云服务“找手机-销毁资料”功能，频繁发起“销毁资料”指令，使得360手机用户何先生虽然手机在手，但是因被远程操控执行“销毁资料”指令，使得其手机长时间处于离网状态。

　　简单说，在此期间，不法分子利用360“云服务”和中国移动“副号码”功能有效“劫持”了何先生的正常通信。

　　3）在“通信劫持”期间，不法分子借助中国移动“副号码”功能接收何先生的各类短信验证码，入侵京东账号用白条消费1000元，并在线申请贷款52000元，转入何先生名下中国银行卡，随后，将52000元资金转账至犯罪嫌疑人账户，同时还利用ATM机无卡取款2000元，累计给何先生造成5.3万元损失。

　　回溯整个过程，从360手机、中国移动、京东、银行等资金被盗所涉各个环节，似乎各方都没有责任。

　　首先，何先生的360“云服务”账号外泄和密码被破解，账号外泄环节的责任很难确定是何先生的责任，还是360手机的责任，而密码破解，显然不属于何先生或360手机任何一方的责任。

　　其次，中国移动“副号码”的开通或主副卡绑定操作，中国移动并无过错。

　　其三，何先生京东账号被入侵，发生消费和贷款，京东平台也无过错。

　　其四，何先生网上贷款体现至银行，并转账至犯罪嫌疑人名义，全过程有短信验证码确认身份，银行也很难有过错。

　　那么，何先生的损失到底应该由谁来承担？

　　用户损失：那个环节的安全机制存在重大缺陷需承担较重责任

　　显然，问题的关键显然不在何先生的360云服务账号被盗，而在于360“云服务”特定功能的严谨性。

　　比如“回复短信”功能即授权劫持机主手机短信回复功能，其本意应该是为了方便手机遗失或被盗用户，远程操控完成特定功能的取消。

　　比如“销毁资料”功能原本是方便用户远程删除一些内容。

　　但是，atv直播，这些安全功能被不法分子“劫持”后，则成为不法分子打开各类平台安全防盗门的“钥匙”，使其畅通无阻。