原本都是为了用户的安全或隐私保护设置的防范机制,但是,不同平台之间的安全防范机制缺乏“统一性”或“系统性”,反而被不法分子利用,成为侵害用户财产的全新方式或重要手段。
日前,发生 在360 手机用户、何先生身上的一起“隔空盗窃案”,可谓匪夷所思。
从手机使用来看,何先生因为使 用360 手机, 是360 手机用户,而从入网角度看,何先生办理的是中国移动的SIM卡,因此,也是中国移动的用户。
但令人哭笑不得是,由于何先生同时 是360 手机用户和中国移动用户,反而给自己带来了不必要的麻烦,致使个人银行资金被“隔空盗窃”,损失高达5.3万元。
安全机制:各平台基于用户利益保障的共同选择
360手机为了保障用户隐私安全, 为360 手机用户提供了一系列“云服务”,包括“销毁资料”等远程控制手机技术服务。
该服务的使用场景原本是,当用户手机不慎遗失或丢失后,为避免存储在手机中的重要个人资料,比如图片、文档及视频等发生外泄,允 许360 手机用户通过PC或其他设备登陆“云服务”账号,通过远程“销毁手机中的各种资料”。
可以说,这项服务本身对于用户的隐私保护价值或作用还是很大。
而中国移动为了用户隐私安全,避免用户个人号码随意外泄,同时免受营销、诈骗等电话骚扰,为用户提供了“副号码”服务。
开通该服务后,用户可在不更换手机和SIM卡的情况下,获得一个或多个虚拟的号码(即副号码),并实现用副号码接打接听电话和收发短信的功能。
这样,对于需要提供个人联系方式的场合或不想接听来电时,用户可以通过预留副号码信息或借助副号码功能实现对来电的区分、标记和黑名单管理等。
可以说,不论 是360 手机的安全“云服务”,还是中国移动的“副号码”服务,其本意原本都是为了更好的保障用户隐私。
化学反应:跨平台安全机制缺乏统一性反成“漏洞”
但是,当这两种安全机制发生“化学反应”,被不法分子利用后,却成了实施手机劫持、隔空盗窃的工具,而何先生则成了首个被媒体曝光的“受害者”。
根据中国移动 和360 的合作调查取证显示:
1)360手机用户何先生的“云服务”账号被不法分子破解并登陆,然后,不法分子登 陆360 手机用户何先生的“云服务”账号后,利用“云服务”提供的“回复短信”功能,为何先生的手机号码开通了中国移动“副号码”服务,完成主副卡绑定。
2)不法分子利 用360 手机云服务“找手机-销毁资料”功能,频繁发起“销毁资料”指令,使 得360 手机用户何先生虽然手机在手,但是因被远程操控执行“销毁资料”指令,使得其手机长时间处于离网状态。
简单说,在此期间,不法分子利用360“云服务”和中国移动“副号码”功能有效“劫持”了何先生的正常通信。
3)在“通信劫持”期间,不法分子借助中国移动“副号码”功能接收何先生的各类短信验证码,入侵京东账号用白条消 费1000 元,并在线申请贷 款52000 元,转入何先生名下中国银行卡,随后, 将52000 元资金转账至犯罪嫌疑人账户,同时还利用ATM机无卡取 款2000 元,累计给何先生造成5.3万元损失。
回溯整个过程, 从360 手机、中国移动、京东、银行等资金被盗所涉各个环节,似乎各方都没有责任。
首先,何先生的360“云服务”账号外泄和密码被破解,账号外泄环节的责任很难确定是何先生的责任,还 是360 手机的责任,而密码破解,显然不属于何先生 或360 手机任何一方的责任。
其次,中国移动“副号码”的开通或主副卡绑定操作,中国移动并无过错。
其三,何先生京东账号被入侵,发生消费和贷款,京东平台也无过错。
其四,何先生网上贷款体现至银行,并转账至犯罪嫌疑人名义,全过程有短信验证码确认身份,银行也很难有过错。
那么,何先生的损失到底应该由谁来承担?
用户损失:那个环节的安全机制存在重大缺陷需承担较重责任
显然,问题的关键显然不在何先生 的360 云服务账号被盗,而在于360“云服务”特定功能的严谨性。
比如“回复短信”功能即授权劫持机主手机短信回复功能,其本意应该是为了方便手机遗失或被盗用户,远程操控完成特定功能的取消。
比如“销毁资料”功能原本是方便用户远程删除一些内容。
但是,这些安全功能被不法分子“劫持”后,则成为不法分子打开各类平台安全防盗门的“钥匙”,使其畅通无阻。
归根到底,在于启用或启动上 述360 云服务“安全机制”时,缺乏更加安全的验证机制,比如登陆或功能触发时,采用人脸识别技术或指纹识别技术等安全系数更高的身份识别机制。
之所以应该启用更加安全的验证机制,是因 为360 云服务“安全机制”功能十分强大,比如远程控制短信回复等,如果被不法分子利用将给用户带来更大的损失。
而针对上述验证环节存在的不足或风险,360公告称:
1)加强弱密码和异常登陆的监测和风险控制;
2)对云服务远程管理手机的重要功能开启密保问题或短信验证码的二次验证。
由此可见,从所涉各方或各环节,360手机所应担负的注意义务或安全保障责任应该更大一些。目前对于何先生的损失,360已对何先生先行赔付5.3万元。
但是,该案例所暴露的不同厂商或平台“安全机制”发生“化学反应”可能被不法分子利用的问题,可能更值得深思。
孤立的看,每个厂商的安全机制似乎都很安全,但是,一旦安全机制发生交叉或“化学反应”,似乎变得更不安全,如何构建具有更高“统一性”或“系统性”的跨平台、综合性安全机制,亟待更相关厂商共同参与和完善。
作者 李俊慧(中国政法大学知识产权研究中心特约研究员李俊慧,长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。微信号:lijunhui0602,微信公号:lijunhui0507)
