原本都是為了用戶的安全或隱私保護(hù)設(shè)置的防范機(jī)制，但是，不同平臺(tái)之間的安全防范機(jī)制缺乏“統(tǒng)一性”或“系統(tǒng)性”，反而被不法分子利用，成為侵害用戶財(cái)產(chǎn)的全新方式或重要手段。

日前，發(fā)生在360手機(jī)用戶、何先生身上的一起“隔空盜竊案”，可謂匪夷所思。

從手機(jī)使用來看，何先生因?yàn)槭褂?60手機(jī)，是360手機(jī)用戶，而從入網(wǎng)角度看，何先生辦理的是中國移動(dòng)的SIM卡，因此，也是中國移動(dòng)的用戶。

但令人哭笑不得是，由于何先生同時(shí)是360手機(jī)用戶和中國移動(dòng)用戶，反而給自己帶來了不必要的麻煩，致使個(gè)人銀行資金被“隔空盜竊”，損失高達(dá)5.3萬元。

安全機(jī)制：各平臺(tái)基于用戶利益保障的共同選擇

360手機(jī)為了保障用戶隱私安全，為360手機(jī)用戶提供了一系列“云服務(wù)”，包括“銷毀資料”等遠(yuǎn)程控制手機(jī)技術(shù)服務(wù)。

該服務(wù)的使用場景原本是，當(dāng)用戶手機(jī)不慎遺失或丟失后，為避免存儲(chǔ)在手機(jī)中的重要個(gè)人資料，比如圖片、文檔及視頻等發(fā)生外泄，允許360手機(jī)用戶通過PC或其他設(shè)備登陸“云服務(wù)”賬號(hào)，通過遠(yuǎn)程“銷毀手機(jī)中的各種資料”。

可以說，這項(xiàng)服務(wù)本身對(duì)于用戶的隱私保護(hù)價(jià)值或作用還是很大。

而中國移動(dòng)為了用戶隱私安全，避免用戶個(gè)人號(hào)碼隨意外泄，同時(shí)免受營銷、詐騙等電話騷擾，為用戶提供了“副號(hào)碼”服務(wù)。

開通該服務(wù)后，用戶可在不更換手機(jī)和SIM卡的情況下，獲得一個(gè)或多個(gè)虛擬的號(hào)碼（即副號(hào)碼），并實(shí)現(xiàn)用副號(hào)碼接打接聽電話和收發(fā)短信的功能。

這樣，對(duì)于需要提供個(gè)人聯(lián)系方式的場合或不想接聽來電時(shí)，用戶可以通過預(yù)留副號(hào)碼信息或借助副號(hào)碼功能實(shí)現(xiàn)對(duì)來電的區(qū)分、標(biāo)記和黑名單管理等。

可以說，不論是360手機(jī)的安全“云服務(wù)”，還是中國移動(dòng)的“副號(hào)碼”服務(wù)，其本意原本都是為了更好的保障用戶隱私。

化學(xué)反應(yīng)：跨平臺(tái)安全機(jī)制缺乏統(tǒng)一性反成“漏洞”

但是，當(dāng)這兩種安全機(jī)制發(fā)生“化學(xué)反應(yīng)”，被不法分子利用后，卻成了實(shí)施手機(jī)劫持、隔空盜竊的工具，而何先生則成了首個(gè)被媒體曝光的“受害者”。

根據(jù)中國移動(dòng)和360的合作調(diào)查取證顯示：

1）360手機(jī)用戶何先生的“云服務(wù)”賬號(hào)被不法分子破解并登陸，然后，不法分子登陸360手機(jī)用戶何先生的“云服務(wù)”賬號(hào)后，利用“云服務(wù)”提供的“回復(fù)短信”功能，為何先生的手機(jī)號(hào)碼開通了中國移動(dòng)“副號(hào)碼”服務(wù)，完成主副卡綁定。

2）不法分子利用360手機(jī)云服務(wù)“找手機(jī)-銷毀資料”功能，頻繁發(fā)起“銷毀資料”指令，使得360手機(jī)用戶何先生雖然手機(jī)在手，但是因被遠(yuǎn)程操控執(zhí)行“銷毀資料”指令，使得其手機(jī)長時(shí)間處于離網(wǎng)狀態(tài)。

簡單說，在此期間，不法分子利用360“云服務(wù)”和中國移動(dòng)“副號(hào)碼”功能有效“劫持”了何先生的正常通信。

3）在“通信劫持”期間，不法分子借助中國移動(dòng)“副號(hào)碼”功能接收何先生的各類短信驗(yàn)證碼，入侵京東賬號(hào)用白條消費(fèi)1000元，并在線申請(qǐng)貸款52000元，轉(zhuǎn)入何先生名下中國銀行卡，隨后，將52000元資金轉(zhuǎn)賬至犯罪嫌疑人賬戶，同時(shí)還利用ATM機(jī)無卡取款2000元，累計(jì)給何先生造成5.3萬元損失。

回溯整個(gè)過程，從360手機(jī)、中國移動(dòng)、京東、銀行等資金被盜所涉各個(gè)環(huán)節(jié)，似乎各方都沒有責(zé)任。

首先，何先生的360“云服務(wù)”賬號(hào)外泄和密碼被破解，賬號(hào)外泄環(huán)節(jié)的責(zé)任很難確定是何先生的責(zé)任，還是360手機(jī)的責(zé)任，而密碼破解，顯然不屬于何先生或360手機(jī)任何一方的責(zé)任。

其次，中國移動(dòng)“副號(hào)碼”的開通或主副卡綁定操作，中國移動(dòng)并無過錯(cuò)。

其三，何先生京東賬號(hào)被入侵，發(fā)生消費(fèi)和貸款，京東平臺(tái)也無過錯(cuò)。

其四，何先生網(wǎng)上貸款體現(xiàn)至銀行，并轉(zhuǎn)賬至犯罪嫌疑人名義，全過程有短信驗(yàn)證碼確認(rèn)身份，銀行也很難有過錯(cuò)。

那么，何先生的損失到底應(yīng)該由誰來承擔(dān)？

用戶損失：那個(gè)環(huán)節(jié)的安全機(jī)制存在重大缺陷需承擔(dān)較重責(zé)任

顯然，問題的關(guān)鍵顯然不在何先生的360云服務(wù)賬號(hào)被盜，而在于360“云服務(wù)”特定功能的嚴(yán)謹(jǐn)性。

比如“回復(fù)短信”功能即授權(quán)劫持機(jī)主手機(jī)短信回復(fù)功能，其本意應(yīng)該是為了方便手機(jī)遺失或被盜用戶，遠(yuǎn)程操控完成特定功能的取消。

比如“銷毀資料”功能原本是方便用戶遠(yuǎn)程刪除一些內(nèi)容。

但是，這些安全功能被不法分子“劫持”后，則成為不法分子打開各類平臺(tái)安全防盜門的“鑰匙”，使其暢通無阻。

歸根到底，在于啟用或啟動(dòng)上述360云服務(wù)“安全機(jī)制”時(shí)，缺乏更加安全的驗(yàn)證機(jī)制，比如登陸或功能觸發(fā)時(shí)，采用人臉識(shí)別技術(shù)或指紋識(shí)別技術(shù)等安全系數(shù)更高的身份識(shí)別機(jī)制。

之所以應(yīng)該啟用更加安全的驗(yàn)證機(jī)制，是因?yàn)?60云服務(wù)“安全機(jī)制”功能十分強(qiáng)大，比如遠(yuǎn)程控制短信回復(fù)等，如果被不法分子利用將給用戶帶來更大的損失。

而針對(duì)上述驗(yàn)證環(huán)節(jié)存在的不足或風(fēng)險(xiǎn)，360公告稱，1）加強(qiáng)弱密碼和異常登陸的監(jiān)測(cè)和風(fēng)險(xiǎn)控制，2）對(duì)云服務(wù)遠(yuǎn)程管理手機(jī)的重要功能開啟密保問題或短信驗(yàn)證碼的二次驗(yàn)證。

由此可見，從所涉各方或各環(huán)節(jié)，360手機(jī)所應(yīng)擔(dān)負(fù)的注意義務(wù)或安全保障責(zé)任應(yīng)該更大一些。目前對(duì)于何先生的損失，360已對(duì)何先生先行賠付5.3萬元。

但是，該案例所暴露的不同廠商或平臺(tái)“安全機(jī)制”發(fā)生“化學(xué)反應(yīng)”可能被不法分子利用的問題，可能更值得深思。

孤立的看，每個(gè)廠商的安全機(jī)制似乎都很安全，但是，一旦安全機(jī)制發(fā)生交叉或“化學(xué)反應(yīng)”，似乎變得更不安全，如何構(gòu)建具有更高“統(tǒng)一性”或“系統(tǒng)性”的跨平臺(tái)、綜合性安全機(jī)制，亟待更相關(guān)廠商共同參與和完善。