一個(gè)小偷，能對(duì)你的手機(jī)干什么呢?

手機(jī)安全，這曾經(jīng)一個(gè)其實(shí)沒(méi)有太大必要的東西，但在如今各種微信支付，apple pay 風(fēng)行之后，這一個(gè)安全反而變得重要了起來(lái)，甚至達(dá)到了相當(dāng)關(guān)鍵的一環(huán)個(gè)人財(cái)產(chǎn)安全防護(hù);

可能有人對(duì)于手機(jī)的安全性表示懷疑，畢竟不是每個(gè)美國(guó)人聽(tīng)到棱鏡后都會(huì)去游行，也不是每個(gè)人都會(huì)在手機(jī)被盜后快速反應(yīng)的凍結(jié)賬號(hào);畢竟有著那么多驗(yàn)證和密碼，誰(shuí)能盜號(hào)?所以今天我想在這里闡述一下，一個(gè)普通的小偷(不是hack 甚至不具備一些比較高級(jí)的工具，比如復(fù)制信用卡的機(jī)器)能對(duì)每個(gè)人的手機(jī)做什么。

首先，我們有著一臺(tái)手機(jī)，有著你的電話號(hào)碼，但卻有開(kāi)機(jī)密碼，我們假定這小偷偷到了你的手機(jī)，但卻無(wú)法解鎖，那怎么辦呢?難道這種防護(hù)他就沒(méi)法進(jìn)一步了嗎?不，他根本不需要解鎖你的手機(jī)，只需要刷回原來(lái)的系統(tǒng)，或者我們更加簡(jiǎn)單粗暴一點(diǎn)，把手機(jī)卡拔出來(lái)，換臺(tái)一次性手機(jī)(這樣可以防止追蹤)，手機(jī)就能用了;

因?yàn)楸娝苤?，qq有一個(gè)神奇的登錄，是的“手機(jī)號(hào)登錄”在現(xiàn)在所有的qq新用戶注冊(cè)都要求手機(jī)號(hào)注冊(cè)的情況下，每個(gè)qq都綁定著你的手機(jī)號(hào)碼，只要你開(kāi)啟了手機(jī)號(hào)登錄，誰(shuí)都可以用你的手機(jī)號(hào)登錄上去;

什么?你說(shuō)你沒(méi)開(kāi)啟?你以為我就找不到了你的qq號(hào)碼了嗎? Naïve !只要你打開(kāi)qq添加好友哪怕對(duì)方?jīng)]有開(kāi)啟手機(jī)號(hào)登錄，我也可以直接查到你的賬號(hào);

這就意味著你的賬號(hào)已經(jīng)落入別人手，接下來(lái)，他只需要找回密碼就行了，什么?你還有那個(gè)很強(qiáng)大的設(shè)備鎖?抱歉，我現(xiàn)在偷來(lái)的，就是你的設(shè)備啊，何況設(shè)備鎖也能取消的。。。

接下來(lái)，要拿取密碼。。。然而，qq找回密碼，靠的也全是手機(jī)。。。。。。

因此，這個(gè)時(shí)候你的qq已經(jīng)淪陷，同樣的， 能用qq和手機(jī)號(hào)登陸的微信，也已經(jīng)淪陷了;(btw 那四位支付密碼也是可以改的你們不會(huì)不知道吧)

這個(gè)時(shí)候小偷還能盜什么呢?如果這時(shí)候，你最常用的是qq郵箱怎么辦，那你慘了，因?yàn)槟阒饕拿鼙｀]箱qq郵箱，已經(jīng)是別人的了;什么，你說(shuō)你用的是網(wǎng)易?

更糟糕的是，接下來(lái)，只要是你綁定過(guò)qq和微信的所有論壇，例如：知乎，需要郵箱驗(yàn)證的steam，都是別人的了，BTW. 淘寶也是可以這樣的，你以為淘寶偷錢是怎么來(lái)的。。。

結(jié)語(yǔ)：

1. Woc這么糟糕 那我們的安全怎么防范啊?

沒(méi)有辦法，看好你的手機(jī)，丟了不僅要立刻報(bào)警，還要記得趕緊去登陸鎖定你的賬號(hào)，不要到時(shí)出現(xiàn)你無(wú)法證明這是你的賬號(hào)這種搞笑事情就沒(méi)辦法了。

2. 你為什么要在這種公共平臺(tái)上發(fā)出來(lái)?這會(huì)讓犯罪分子學(xué)習(xí)一個(gè)的啊?

那你們就too young了 你以為我不發(fā)他們就不會(huì)了? 實(shí)話實(shí)說(shuō)，他們不僅會(huì)，而且還有更加高效率的手法，寫(xiě)個(gè)腳本直接流水線盜竊，基本上幾分鐘拿光你的賬號(hào)和綁定著的錢，所以我這里只是寫(xiě)一個(gè)比較簡(jiǎn)單低效的流程而已，要是我上，根本不需要這么麻煩。

3. 那難道我們就一直無(wú)法防范這些盜取了嗎?

坦誠(chéng)來(lái)說(shuō)是的，各大安全廠商和bat也在努力加強(qiáng)自己的防護(hù)措施，比如設(shè)備鎖，比如臨時(shí)的四位密碼驗(yàn)證這些，起碼比曾經(jīng)的一驗(yàn)證就能盜號(hào)的情況好很多了，比如神奇的一個(gè)例子是，像必勝客這種網(wǎng)上外賣，曾經(jīng)居然只要輸入手機(jī)號(hào)碼，就能直接看到你的地址，雖然現(xiàn)在已經(jīng)添加了一個(gè)需要密碼的機(jī)制了，但仍然不是強(qiáng)制性的，(話說(shuō)這簡(jiǎn)直為入室搶劫盜竊提供良機(jī)啊喂)但是俗話說(shuō)道高一尺，魔高一丈，無(wú)論你如何防備，總是有的破解之法，五角大樓幾十年前就被凱文搞定了，伊朗的核設(shè)施能因?yàn)橐粋€(gè)病毒而被耽誤兩年，就是美國(guó)國(guó)家機(jī)關(guān)NSA最近也被人黑了，這就是一場(chǎng)技術(shù)競(jìng)逐的戰(zhàn)斗，看的就是我們誰(shuí)能快一步，拿出破解之道。

4. 丟了手機(jī)會(huì)丟失幾乎一切賬號(hào)，那別的賬號(hào)呢?

事實(shí)上，互聯(lián)網(wǎng)發(fā)展有利有弊之處，就是在于用戶之間的聯(lián)系，是相當(dāng)緊密的，就好像我當(dāng)初只拿了一個(gè)qq號(hào)，卻能接連不斷的盜取別的賬號(hào)，直到你一無(wú)所有;在所有賬號(hào)里，qq微信這種社交主要平臺(tái)是防護(hù)的重中之重，因?yàn)楝F(xiàn)在大部分論壇都是靠這個(gè)登錄的;

其次，我要提一個(gè)安全廠商曾經(jīng)犯下的重大錯(cuò)誤，這點(diǎn)是最近幾年才進(jìn)行更正的，也就是從前的密碼找回，并不是像今天這樣讓你直接寫(xiě)個(gè)新的密碼上去，而是直接把你的密碼發(fā)到你的密保賬號(hào)(郵箱，手機(jī))上面，這樣導(dǎo)致那個(gè)時(shí)候的撞庫(kù)極為猖狂，通常對(duì)于很多沒(méi)有太大安全意識(shí)，很多賬號(hào)都共用一個(gè)密碼的人來(lái)說(shuō)更是如此，因此，強(qiáng)烈建議各位常備幾個(gè)密碼，并且不要在里面摻雜手機(jī)號(hào)，生日，姓名這種敏感字眼。

補(bǔ)充：

5.我手機(jī)真的加了很多防護(hù)了啊 pin開(kāi)了 密碼改成復(fù)雜的了 定位也開(kāi)了 為什么還是擋不住

Σ( ° △ °|||)?

首先我想聲明一點(diǎn)，真的沒(méi)有黑不進(jìn)的手機(jī)，如果你的手機(jī)被盜但卻沒(méi)有丟失任何財(cái)產(chǎn);那只能說(shuō)你比較幸運(yùn)，但并不代表就真的黑不進(jìn)了，強(qiáng)如apple都跪在了破解者的面前，更別提最近NSA爆出來(lái)的那批巨硬和apple的私匙被拿到之后能干嗎了，你沒(méi)被黑一是你沒(méi)這種資格去被被人用高級(jí)的方式破解，二是對(duì)方并不不專業(yè)，可能干脆就是偷來(lái)掛咸魚(yú)而已;有心針對(duì)你的，直接肩窺拿到密碼(比如PIN還是規(guī)定數(shù)字的4-8位)，基本上你手機(jī)里就連聊天短信記錄都能被人拿掉;

6. 正規(guī)小偷/黑產(chǎn)團(tuán)體是怎么作案的呢?

首先，正規(guī)的團(tuán)體一般手上都有一套已經(jīng)寫(xiě)好了的破解軟件or機(jī)器，因此可以流水線一樣的破譯密碼，同時(shí)，他們并不會(huì)隨隨便便街邊找個(gè)人就偷，大部分都會(huì)集中在繁華區(qū)域，盯著那些用著微信，支付寶支付的有錢人，先肩窺你的密碼，然后一扒，轉(zhuǎn)身就去找接頭的把你的錢全刷了，完全沒(méi)我前面所說(shuō)的那么復(fù)雜，我那種是屬于針對(duì)性的;

至于黑產(chǎn)團(tuán)隊(duì)呢，除了刻意接單針對(duì)某人外，他們的主要目標(biāo) 基本上不注重密碼安全的，多個(gè)論壇平臺(tái)使用同一組賬號(hào) 昵稱 密碼的人，他們拖下一個(gè)論壇的褲子，就可以拿去不斷的撞庫(kù)，然后賬號(hào)生賬號(hào)，組成龐大的黑產(chǎn)鏈，這些賬號(hào)甚至可以作為水軍，廣告發(fā)放者進(jìn)行二次販賣，這樣所構(gòu)成的黑產(chǎn)鏈?zhǔn)菢O為強(qiáng)大的;舉個(gè)例子，一個(gè)微博大v被盜，沒(méi)有及時(shí)發(fā)覺(jué)，然后背后的人使用他的賬號(hào)發(fā)布了一個(gè)釣魚(yú)鏈接，可想而知會(huì)有多少人的賬號(hào)會(huì)落網(wǎng)。