因为新办了一张校园卡,准备用新卡,所以就更换了微信的手机号。但是更换手机号时,并没有要求验证原来的手机号,而是直接给新号码发验证码,这样难道不算是一个安全上的 bug 吗?
1
mrjoel 2016-08-26 12:16:57 +08:00
登录验证机制非常严格,登录成功了就不再验证了。
|
2
BROWNURSIDAE 2016-08-26 12:34:18 +08:00 via Android
因为你已经登陆了啊朋友。。。
|
3
Clarencep 2016-08-26 13:32:15 +08:00
一般人手机上微信这种 APP 默认肯定是登录状态。 所以呢,手机一定要设锁屏密码,不要随便把手机借给不信任的人用,否则他 /她把你的微信 /QQ/支付宝 /京东等 APP 都换了号码盗了你的号你都一点也不知道。
|
4
zchzch1014 2016-08-26 13:39:00 +08:00
我觉得不算,首先是楼上几位说的登录机制的问题,还有要是你原来的手机号不能用了怎么办?
|
5
mason961125 OP |
6
BROWNURSIDAE 2016-08-26 13:44:09 +08:00 via Android
@mason961125 那就是你自己的问题了。。。刚好被盗不设置锁屏。。。
|
7
mason961125 OP @BROWNURSIDAE 从 Android 转到 iOS 上一直是有锁屏密码和 TouchID 的。我说的是那种恰巧锁屏被破解的情况。
|
8
liangguan5 2016-08-26 13:52:31 +08:00 via iPhone
看到 1 、 2 楼解释要笑坏了。。。
如果属实(原手机就这样被解绑了),这的确是安全漏洞,求大神们理性分析一下 |
9
ys0290 2016-08-26 14:05:04 +08:00 via iPhone
如果已经登陆了,换个人难道就拿不到验证码了吗?
|
10
DearTanker 2016-08-26 14:08:56 +08:00 1
楼主自己假装别人拿个新号码新手机来搞自己的账号,试试期间会遇到一些什么问题,别因为只是一步更换绑定手机号就觉得已经完了。
|
11
TangMonk 2016-08-26 14:10:07 +08:00
支付宝好像也是这样的
|
12
tracedocting 2016-08-26 14:11:48 +08:00 1
Apple ID 更改主邮箱(即登录帐号)也是一样,不需要给旧邮箱发送验证码。如果密码薄弱,没有开启两步验证,被盗号锁 ID 改帐号,然后购机发票没办法找到,你就再也没办法解锁手机了。 #身边活生生的例子
|
13
imn1 2016-08-26 14:15:10 +08:00 1
outlook 印象中更换 2FA 也是直接操作
twitter 好像也是 google 和 appleid 在重要操作时,即使在信任设备,也有再次问密码或安全问题的步骤 outlook/google 都会发送提醒 email 到安全邮箱,可取消操作,但我没试过 个人觉得需要做到登录状态和本人操作两个验证才算合格,后者比较难实现,所以再次输入密码只能算勉强合格 安全邮箱可以取消操作倒是一个比较好的做法,不仅安全方面,也可以避免本人误操作,也提供“后悔药”选择 |
14
moonkiller 2016-08-26 14:48:34 +08:00
lz 你有没有考虑需要原来手机验证也会带来问题的
如果你原来的手机已经停机了咋办 |
15
BROWNURSIDAE 2016-08-26 14:53:49 +08:00 via Android
@liangguan5 万一你原手机不用并且被重新发号了呢?这并不可笑,不是安全漏洞
|
16
justina25 2016-08-26 15:12:06 +08:00
这个地方,不要验原手机,验一下登陆密码 朱军觉得如何呀?
|
17
lyric 2016-08-30 02:32:10 +08:00
不是 bug ,当初这个功能的设计就是这样,后来我接手后保持了这个逻辑。
@mason961125 手机被坏人物理接触,基本上除了支付,别的都 GG 了。但是有紧急锁定的方法,参考 https://weixin110.qq.com/security/readtemplate?t=security_center_website/tools @DearTanker 是的,后续安全策略挺苛刻。 @zchzch1014 你说的对。 @BROWNURSIDAE 你说得对。 @justina25 不好,很多微信用户没密码,日常也接触不到密码,所以懵逼。 |