本文的目的是科普丟手機的危害,禁止非法利用,否則后果自負。 前陣子在某知名安全網站看到了“手機丟了以后,都會發生些什么?一篇文章”然后結合自己日常生活中使用手機過程中的安全隱患進行了一些自己的思考,然后有了這篇文章;因為我在原文章中并沒有找到解決這些安全隱患的辦法。最后我自己也提出了自己一些解決辦法,同時也希望相關的應用廠商給出更好的安全防護措施!
如果你的手機丟了?你覺得在多短時間內補卡以及采取什么補救措施是最好的?一個小時?三個小時?還是,明天吧,反正今天找了好久沒找到,說不定落在家里了……
看了上面的圖我想大家都能明白這些是個人就玩的超級熟練的軟件和智能手機的相關程度是怎樣的,那你丟失手機之后的一段時間內,如果被別有用心的人撿到了,那么在短時間內,人家能得到些什么呢?
我們這里討論的是大多數的情況,不討論極個別的現象!大多數人的手機都是開著USB調的,因為我們平時會安裝很多我們需要的應用軟件。然后我們連接電腦直接使用工具進行破解手機屏幕鎖,然后直接使用別人手機進行一些操作的行為,很多刷機軟件有破解屏幕鎖的功能!
這里補充一句,就算你沒有開USB調試接口,也能打開你的手機!很多廠商提供恢復出廠設置的功能,比如聯想手機,只要同時按住開機按鍵和音量鍵就可以繞過鎖屏直接恢復出廠設置。至于其他品牌的手機百度一下也能找到恢復廠商設置的方法。
先看下面的流程圖,如果是那個撿到手機的人就是我,你覺得我能做到些什么?
接著往下看:
下面是某些應用可以找回密碼的過程截圖:
登錄微信
首先,看到的是微信找回密碼的界面:
進行完一系列的操作之后,我們就得到了該用戶的QQ帳號。或者得到更多郵件地址(極有可能得到QQ郵箱地址)之類的信息,信息越多,對接下來的操作或者更有用;
登錄支付寶
這里吐槽一下支付寶錢包前幾天剛剛升級的9.0版本,竟然把手勢密碼取消掉了?那樣不是更方便人家直接進去了?雖然有些自己有指紋支付功能,但是現在很多安卓機子還是沒有的!
如果你的支付寶沒有退出,而且沒有手勢密碼,那就自己進去更改支付密碼就行了!
如果你已經退出支付寶,那直接重置登錄密碼就行了。
那么我們再來看一組圖片:
如果我們退出了支付寶,當我們再次登錄的時候,我們是看不到我們完整的支付寶號的,不過沒事,依然可以重置密碼:
這是支付寶的登錄密碼,成功,但是,問題來了,如果有更過分的人看到你支付寶有錢想花掉怎么辦???你或許覺得支付寶登錄密碼算什么,還有支付寶密碼呢!那么,支付寶密碼是否安全呢???
當進行到這一步的時候我們要問了,得到QQ帳號能有什么用?你又不知道人家的密碼,不還是干著急?或者說你都不知道人家的證件號,能有什么用?
登錄12306賬號
當然我們進行到這一步的時候,其實已經可以干一些事情了,比如,微博的密碼什么的可以改了,或者有的人會用這樣的手段給自己做一些廣告,如果手機卡失主的微博夠火的話,再比如,也可以在微信給自己打廣告。
當然了,這確實是挺難的,我不會編程,不會寫惡意木馬,只是得到了他人的手機卡,但這并不表示我們真的就連一點點的機會都沒有,我們知道現在好多軟件都是相互關聯,比如剛剛的微信就可以關聯到QQ帳號,又或者隨便一個軟件、網站都關聯著手機號碼,郵箱等等。那我們要怎樣才能得到更多的個人的信息呢?請看下圖:
QQ找回密碼來修改QQ密碼也似乎不是不可以了哦。
因為我撿到的的手機極有可能就是密保手機,你覺得呢?
最后附上12306找回密碼的過程截圖:
柳暗花明又一村:終于找到證件號碼
看到上面的這些圖片(得到了證件號碼,本人姓名)你是否可以大膽猜到我們還能干些什么呢?剛剛好像是哪個應用需要個人證件號來著?支付寶支付密碼!
話說到這里,手機丟了,真的可以過一天再去補卡嗎?真的是無所謂,先電腦上發個什么手機丟失的說說什么的嗎?真的就是很隨便的心態嗎?
如果確定自己的手機丟了,以最快的速度去掛失報停,趕緊去補卡,改掉相關應用的密碼,確保只是丟失手機的損失,而不是手機丟了,更多的東西丟掉了。
個人思考及安全防護
當我們按照完我們需要的應用程序后,應該把USB應用調試關掉,那樣就算撿到手機用電腦也連接不了手機,自然也不能軟件解鎖手機,這樣就會安全許多。如果破解不了屏幕鎖就算用其他方法使手機恢復了出廠設置,但是里面的應用也沒有了,他也無法獲取應用的登陸賬號。 我們的應用程序盡量不要使用我們的手機號來做登陸賬戶名,因為當對方不知道登陸賬戶名的時候就算有手機也重置不了密碼。如果你允許使用手機號來做為登錄賬號,那么就是太方便了,直接就重置密碼了!但是現實中很多人懶得記郵箱號,所以很多都是直接用手機號來作為登陸賬戶的,這是個不好的習慣!
對一些廠商的建議
我遇到的很多應用都是直接有手機號碼接收短信就能修改密碼,個人感覺還是有點不安全的,原因看上面已經明白了。 不過有些廠商已經做了點改變,我個人覺得還是比較好的,比如:
下面就是牛逼的時刻了:無論手機上面保存有郵箱賬號還是手機能接收到短信,你都要輸入密保才能改密碼!!!牛逼吧,這樣真心是沒法改了!!!
(吐槽一下:這樣也有不好的時候,比如你自己把密保給忘了,那也是很蛋疼的,因為你自己也用不了)
這篇文章是我自己看了一些安全論壇上面的文章以后,自己的思考與感想,因為有些測試的方法一樣,所以里面的一些描述文字和圖片就引用了原作者的,當然有些是我自己的文字描述和插圖。其實我沒有其他意思,就是來烏云很久了,烏云的無私奉獻的風氣讓我學到了很多,這篇文章就當是我分享自己的思考,望大家一起討論,一起學習。