文/李俊慧 原本都是为了用户的安全或隐私保护设置的防范机制,但是,不同平台之间的安全防范机制缺乏“统一性”或“系统性”,反而被不法分子利用,成为侵害用户财产的全新方式或重要手段。 日前,发生在360手机用户、何先生身上的一起“隔空盗窃案”,可谓匪夷所思。 从手机使用来看,何先生因为使用360手机,是360手机用户,而从入网角度看,何先生办理的是中国移动的SIM卡,因此,也是中国移动的用户。 但令人哭笑不得是,由于何先生同时是360手机用户和中国移动用户,反而给自己带来了不必要的麻烦,致使个人银行资金被“隔空盗窃”,损失高达5.3万元。 安全机制:各平台基于用户利益保障的共同选择 360手机为了保障用户隐私安全,为360手机用户提供了一系列“云服务”,包括“销毁资料”等远程控制手机技术服务。 该服务的使用场景原本是,当用户手机不慎遗失或丢失后,为避免存储在手机中的重要个人资料,比如图片、文档及视频等发生外泄,允许360手机用户通过PC或其他设备登陆“云服务”账号,通过远程“销毁手机中的各种资料”。 可以说,这项服务本身对于用户的隐私保护价值或作用还是很大。 而中国移动为了用户隐私安全,避免用户个人号码随意外泄,同时免受营销、诈骗等电话骚扰,为用户提供了“副号码”服务。 开通该服务后,用户可在不更换手机和SIM卡的情况下,获得一个或多个虚拟的号码(即副号码),并实现用副号码接打接听电话和收发短信的功能。 这样,对于需要提供个人联系方式的场合或不想接听来电时,用户可以通过预留副号码信息或借助副号码功能实现对来电的区分、标记和黑名单管理等。 可以说,不论是360手机的安全“云服务”,还是中国移动的“副号码”服务,其本意原本都是为了更好的保障用户隐私。 化学反应:跨平台安全机制缺乏统一性反成“漏洞” 但是,当这两种安全机制发生“化学反应”,被不法分子利用后,却成了实施手机劫持、隔空盗窃的工具,而何先生则成了首个被媒体曝光的“受害者”。 根据中国移动和360的合作调查取证显示: 1)360手机用户何先生的“云服务”账号被不法分子破解并登陆,然后,不法分子登陆360手机用户何先生的“云服务”账号后,直播,利用“云服务”提供的“回复短信”功能,为何先生的手机号码开通了中国移动“副号码”服务,完成主副卡绑定。 2)不法分子利用360手机云服务“找手机-销毁资料”功能,频繁发起“销毁资料”指令,使得360手机用户何先生虽然手机在手,但是因被远程操控执行“销毁资料”指令,使得其手机长时间处于离网状态。 简单说,在此期间,不法分子利用360“云服务”和中国移动“副号码”功能有效“劫持”了何先生的正常通信。 3)在“通信劫持”期间,不法分子借助中国移动“副号码”功能接收何先生的各类短信验证码,入侵京东账号用白条消费1000元,并在线申请贷款52000元,转入何先生名下中国银行卡,随后,将52000元资金转账至犯罪嫌疑人账户,同时还利用ATM机无卡取款2000元,累计给何先生造成5.3万元损失。 回溯整个过程,从360手机、中国移动、京东、银行等资金被盗所涉各个环节,似乎各方都没有责任。 首先,何先生的360“云服务”账号外泄和密码被破解,账号外泄环节的责任很难确定是何先生的责任,还是360手机的责任,而密码破解,显然不属于何先生或360手机任何一方的责任。 其次,中国移动“副号码”的开通或主副卡绑定操作,中国移动并无过错。 其三,何先生京东账号被入侵,发生消费和贷款,京东平台也无过错。 其四,何先生网上贷款体现至银行,并转账至犯罪嫌疑人名义,全过程有短信验证码确认身份,银行也很难有过错。 那么,何先生的损失到底应该由谁来承担? 用户损失:那个环节的安全机制存在重大缺陷需承担较重责任 显然,问题的关键显然不在何先生的360云服务账号被盗,而在于360“云服务”特定功能的严谨性。 比如“回复短信”功能即授权劫持机主手机短信回复功能,其本意应该是为了方便手机遗失或被盗用户,远程操控完成特定功能的取消。 比如“销毁资料”功能原本是方便用户远程删除一些内容。 但是,atv直播,这些安全功能被不法分子“劫持”后,则成为不法分子打开各类平台安全防盗门的“钥匙”,使其畅通无阻。 (责任编辑:本港台直播) |