JINS ，去实体店啦，通常都有打折的款式。

@houzhenhong #67

应该不是复制 SIM 导致的短信验证码泄漏，作者已经说得比较清楚了：『母亲的手机卡为 4G 卡，理论上旧卡即使被复制也不能够正常接打电话、收发短信。』

短信验证码的泄漏倒是容易，国内应用市场乱，随便一个 app 都可以申请读取 sms 权限。在 Android kitkat 之前，甚至可以上行发送短信。

就算是高版本安卓，同样也有静默 root 的漏洞，比如 http://cn.engadget.com/2016/08/08/qualcomm-chip-security-holes/

安卓系短信泄漏的途径很多，防御知识需要请教专家 @honeycomb 了

@honeycomb 对 MIUI 熟悉么？这个案例中不知道是否因为 MIUI 跟其他 android 系统一样，第三方的 app 都可以读取短信，导致验证码别偷取的?

@zjyExcelsior 你的 HHKB 渠道？海淘么?

@Halry 不是 10 送 1 么?

等一下，据说华为的 nexus 2016 9 月份发布， 10.4 上市啦

哦，刚刚 google 一下，发现短信相关的权限设置应该是 adb shell appops set com.tencent.mm READ_ICC_SMS ignore

赞！

不过楼主可以把 cv 的照片删掉，一般技术岗位的 cv 放照片会减分的。

有趣的是发现没有限制读取短信的指令

拿权限大户微信做试验： adb shell dumpsys package com.tencent.mm |grep permission
返回
runtime permissions:
android.permission.READ_SMS: granted=true
...
android.permission.READ_PHONE_STATE: granted=true
...

然后
$ adb shell appops set com.tencent.mm OP_READ_SMS ignore
Error: Unknown operation string: OP_READ_SMS
$ adb shell appops set com.tencent.mm OP_READ_PHONE_STATE ignore
$

结论：
OP_READ_PHONE_STATE 成功，但是自己拼凑出来的指令 OP_READ_SMS 则失败。

不过应该有批量处理的方法，比如

1.用 adb shell 'pm list packages -3' 列出所有第三方的 app 的名字。
2.adb shell dumpsys package PACKAGENAME |grep permission 枚举每一个 app 的权限
3.如果有发现 app 滥用了，就 appops set [package name] OP_READ_PHONE_STATE ignore 教育它

不知道有没有开源的项目做了上面的事情呢？有的话就不用造轮子了。

@honeycomb 不是啦，可能刚才没有表达好。

我是希望通过一些设置可以使得 android 可以跟 iOS 一样，除了默认的短信应用 messenger ，其他 app 一律默认没有读取短信，电话，通讯录的权限。

@honeycomb 主要关心的还是短信权限，像银行验证码之类的是通过短信接收的，安卓的 app 只要是声明旧版本的 api 就可以绕过 android m 的限制未经允许就拥有读取短信的权限。

而手动设置 app 的短信权限很容易忘掉，经常是突然看到别人推荐什么游戏， app 就装一下，但是没有想起来需要检查权限。

@toor00 对啊，有道理，如果有 app 可以帮忙做成图形化的设置就好了

@honeycomb 哦，这样啊，有没有读取短信的 ignore ？这个感觉很重要

诶，几大厂的不提供通讯录就不让使用了，好无耻啊

@kooze 好套路，哈哈

@honeycomb 那是中移动吧，俺是中联通的

google+ 已经无限接近挂了