V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mason961125
V2EX  ›  微信

微信更改手机号码的 bug

  •  
  •   mason961125 · 2016-08-26 12:15:38 +08:00 · 3552 次点击
    这是一个创建于 3012 天前的主题,其中的信息可能已经有所发展或是发生改变。

    因为新办了一张校园卡,准备用新卡,所以就更换了微信的手机号。但是更换手机号时,并没有要求验证原来的手机号,而是直接给新号码发验证码,这样难道不算是一个安全上的 bug 吗?

    17 条回复    2016-08-30 02:32:10 +08:00
    mrjoel
        1
    mrjoel  
       2016-08-26 12:16:57 +08:00
    登录验证机制非常严格,登录成功了就不再验证了。
    BROWNURSIDAE
        2
    BROWNURSIDAE  
       2016-08-26 12:34:18 +08:00 via Android
    因为你已经登陆了啊朋友。。。
    Clarencep
        3
    Clarencep  
       2016-08-26 13:32:15 +08:00
    一般人手机上微信这种 APP 默认肯定是登录状态。 所以呢,手机一定要设锁屏密码,不要随便把手机借给不信任的人用,否则他 /她把你的微信 /QQ/支付宝 /京东等 APP 都换了号码盗了你的号你都一点也不知道。
    zchzch1014
        4
    zchzch1014  
       2016-08-26 13:39:00 +08:00
    我觉得不算,首先是楼上几位说的登录机制的问题,还有要是你原来的手机号不能用了怎么办?
    mason961125
        5
    mason961125  
    OP
       2016-08-26 13:42:15 +08:00
    @zchzch1014 这个应该算是一个理由。
    @BROWNURSIDAE 手机被盗,恰好锁屏被解开的情况下,不就 gg 了?
    BROWNURSIDAE
        6
    BROWNURSIDAE  
       2016-08-26 13:44:09 +08:00 via Android
    @mason961125 那就是你自己的问题了。。。刚好被盗不设置锁屏。。。
    mason961125
        7
    mason961125  
    OP
       2016-08-26 13:46:07 +08:00
    @BROWNURSIDAE 从 Android 转到 iOS 上一直是有锁屏密码和 TouchID 的。我说的是那种恰巧锁屏被破解的情况。
    liangguan5
        8
    liangguan5  
       2016-08-26 13:52:31 +08:00 via iPhone
    看到 1 、 2 楼解释要笑坏了。。。

    如果属实(原手机就这样被解绑了),这的确是安全漏洞,求大神们理性分析一下
    ys0290
        9
    ys0290  
       2016-08-26 14:05:04 +08:00 via iPhone
    如果已经登陆了,换个人难道就拿不到验证码了吗?
    DearTanker
        10
    DearTanker  
       2016-08-26 14:08:56 +08:00   ❤️ 1
    楼主自己假装别人拿个新号码新手机来搞自己的账号,试试期间会遇到一些什么问题,别因为只是一步更换绑定手机号就觉得已经完了。
    TangMonk
        11
    TangMonk  
       2016-08-26 14:10:07 +08:00
    支付宝好像也是这样的
    tracedocting
        12
    tracedocting  
       2016-08-26 14:11:48 +08:00   ❤️ 1
    Apple ID 更改主邮箱(即登录帐号)也是一样,不需要给旧邮箱发送验证码。如果密码薄弱,没有开启两步验证,被盗号锁 ID 改帐号,然后购机发票没办法找到,你就再也没办法解锁手机了。 #身边活生生的例子
    imn1
        13
    imn1  
       2016-08-26 14:15:10 +08:00   ❤️ 1
    outlook 印象中更换 2FA 也是直接操作
    twitter 好像也是

    google 和 appleid 在重要操作时,即使在信任设备,也有再次问密码或安全问题的步骤

    outlook/google 都会发送提醒 email 到安全邮箱,可取消操作,但我没试过

    个人觉得需要做到登录状态和本人操作两个验证才算合格,后者比较难实现,所以再次输入密码只能算勉强合格
    安全邮箱可以取消操作倒是一个比较好的做法,不仅安全方面,也可以避免本人误操作,也提供“后悔药”选择
    moonkiller
        14
    moonkiller  
       2016-08-26 14:48:34 +08:00
    lz 你有没有考虑需要原来手机验证也会带来问题的
    如果你原来的手机已经停机了咋办
    BROWNURSIDAE
        15
    BROWNURSIDAE  
       2016-08-26 14:53:49 +08:00 via Android
    @liangguan5 万一你原手机不用并且被重新发号了呢?这并不可笑,不是安全漏洞
    justina25
        16
    justina25  
       2016-08-26 15:12:06 +08:00
    这个地方,不要验原手机,验一下登陆密码 朱军觉得如何呀?
    lyric
        17
    lyric  
       2016-08-30 02:32:10 +08:00
    不是 bug ,当初这个功能的设计就是这样,后来我接手后保持了这个逻辑。

    @mason961125 手机被坏人物理接触,基本上除了支付,别的都 GG 了。但是有紧急锁定的方法,参考 https://weixin110.qq.com/security/readtemplate?t=security_center_website/tools

    @DearTanker 是的,后续安全策略挺苛刻。

    @zchzch1014 你说的对。

    @BROWNURSIDAE 你说得对。

    @justina25 不好,很多微信用户没密码,日常也接触不到密码,所以懵逼。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:28 · PVG 10:28 · LAX 18:28 · JFK 21:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.