V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
meetalpha
V2EX  ›  奇思妙想

可以用手机号找回密码的服务,运营商是否能做到私自拿手机号请求并看到验证码?

  •  
  •   meetalpha · 2022-05-26 09:33:18 +08:00 · 3078 次点击
    这是一个创建于 672 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题。
    25 条回复    2022-06-02 17:33:38 +08:00
    keppelfei
        1
    keppelfei  
       2022-05-26 09:39:59 +08:00   ❤️ 1
    这类应该都有监管机制吧,比如我把钱存支付宝,支付宝会不会把我的钱拿去买酱油。
    vocaloid
        2
    vocaloid  
       2022-05-26 09:45:34 +08:00   ❤️ 1
    当然可以,手机短信不加密
    CKR
        3
    CKR  
       2022-05-26 09:48:55 +08:00 via Android
    运营商想做的话肯定是能做到的,他连你 4g 访问了哪个网站用了多少流量都知道,获取你的短信内容还不是简简单单
    qiany
        4
    qiany  
       2022-05-26 09:53:03 +08:00
    你可以问下警察
    weak
        5
    weak  
       2022-05-26 09:54:42 +08:00 via iPhone
    完全可以 所以做坏事前不用用国内的 app
    512357301
        6
    512357301  
       2022-05-26 09:54:58 +08:00 via Android
    运营商量级太大了,可能性小。
    你更应该担心网站运营者,毕竟验证码是他们提供的
    IDAEngine
        7
    IDAEngine  
       2022-05-26 09:59:08 +08:00
    可以的,而且触发关键字会自动上报给网警
    inoreader
        8
    inoreader  
       2022-05-26 10:06:24 +08:00
    与其担心运营商作恶,还不如担心短信推送服务商,类似于容联云之类的公司,短信内容他们是可以明文获取到的。
    ahhui
        9
    ahhui  
       2022-05-26 10:09:59 +08:00
    我直知道 microsoft 账号有个短信登录功能,就是不填密码,直接发个短信雁阵就能登录。然后这个短信登录功能是永远都收不到短信的。但是二步验证的短信是可以收到的。所以,我怀疑,直接登录的短信被拦截了(有没有人看就不知道了)。
    ahhui
        10
    ahhui  
       2022-05-26 10:10:32 +08:00
    直知道=只知道,雁阵=验证。该死的输入法,总是选错字。
    littlewing
        11
    littlewing  
       2022-05-26 10:26:22 +08:00
    你咋不担心银行把你的钱吞了不给你?至少这个实际发生过
    SenLief
        12
    SenLief  
       2022-05-26 10:50:51 +08:00
    你所有的信息运营商都看得到的。但是一般来说只发验证码,没有账号用户也不大吧。
    ahhui
        13
    ahhui  
       2022-05-26 10:54:31 +08:00
    @SenLief 现在国内很多账号都是手机号可以登录的。所以验证码和账号理论上运营商都能知道
    SenLief
        14
    SenLief  
       2022-05-26 11:04:41 +08:00
    @ahhui 这个确实。尤其是一些网站还会把哪个网站的都知道。
    mozhizhu
        15
    mozhizhu  
       2022-05-26 11:30:43 +08:00
    一旦查实,只要愿意折腾,说不定就是一笔不菲的赔偿
    libook
        16
    libook  
       2022-05-26 11:37:08 +08:00
    技术上来说,可以。

    就像银行里有很多人的存款,那么银行是否可以私自把客户的存款转移给别人;运营商自身是否有安全管理;运营商内要想查看客户的短信记录和内容,需要哪些授权,是否有审计。
    ChineseTeacher
        17
    ChineseTeacher  
       2022-05-26 11:38:29 +08:00
    手机短信的确不加密,但是同理,微信也不加密(最起码消息对微信服务器可见),telegram 一般聊天也不加密,只要不带端到端加密的全都算不加密。

    电信运营商工作人员能否直接读取用户收发的短信,我不知道,请其他 v 友说。但我个人认为不会有很多人能明确有这种权限,也不太可能会直接有一个接口出来,给运营商中低级别的工作人员随便调阅短信内容,否则早就有人拿这个犯罪了,根本不用伪基站。
    ChineseTeacher
        18
    ChineseTeacher  
       2022-05-26 11:38:38 +08:00
    我这个回复想要提醒楼里的是,手机短信跟信函一样,属于公民通信自卝由的保障范围。我这个回帖从法律的角度分析分析。宪法规定:

    第四十条:中华人民共和国公民的通信自卝由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公卝安机关或者检卝察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自卝由和通信秘密。

    这也就是说,通信自卝由包括 1 、你有自卝由对外通信(如家人等); 2 、你对外的通信应当能够正常送达; 3 、你对外的通信能够保证秘密。当然,宪法是不能拿出来判的。所以,治安管理处罚法规定:

    第四十八条:冒领、隐匿、毁弃、私自开拆或者非法检查他人邮件的,处五日以下拘留或者五百元以下罚款。

    刑法规定:

    第二百五十二条:隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自卝由权利,情节严重的,处一年以下有期徒刑或者拘役。
    ChineseTeacher
        19
    ChineseTeacher  
       2022-05-26 11:38:53 +08:00   ❤️ 1
    这两条法律字面写得都比较模糊,但是因为人大后面有各种解释,导致在实际实施的过程中,基本这么几种情况都是够拘留甚至判刑的:
    1 、字面意思的私拆、藏匿他人信件
    2 、邮递员、快递员、传达室故意延误投递、不投递快递
    3 、信件和邮件包括互联网出现之前亲人朋友之间的信,也包括 EMS 顺丰寄的各种文件
    4 、次数需要比较多

    对于微信等互联网消息,《全国人民代表大会常务委员会关于维护互联网安全的决定》规定:

    四、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
    (二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自卝由和通信秘密;

    PS:这个规定是 2000 年出的

    类似的例子虽然少,但不是没有。公开可查的有:
    1 、2010 年判了一个偷登别人电子邮箱帐号,大量转发他人电子邮件到自己邮箱的
    2 、2011 年居然按照侵犯通信自卝由罪判了个大量盗 QQ 号的
    3 、还有很多比较零碎的偷看电子邮件和 QQ 消息的
    ChineseTeacher
        20
    ChineseTeacher  
       2022-05-26 11:39:18 +08:00   ❤️ 1
    所以你说微信会偷看你的消息吗?如果看的次数真的很多的话,那么张小龙也好还是腾讯的员工也好,的确是会进局子的。所以讲道理,我对微信没有 V2EX 人均的那种怨念。我认为,微信不是什么省油的灯,但是太过分的事,微信也不会干。这种法律上的保护,不是在国内默许端到端加密(其实国内也不是没有端到端加密,你看安司密信和 iMessage ),而是在治安管理处罚法和刑法上对侵犯通信自卝由的行为作出惩罚。当然,问题也包括最重要的:罚得太轻了。侵犯通信自卝由罪判刑上限是 1 年,实际基本上也就是几个月。如果你说别人看了你的微信,你找派出所说这人侵犯了你的通信自卝由?

    回到正题:电信运营商手里,你的短信是没加密的。但是腾讯眼里,你的微信消息也是不加密的。从法律上,阻止电信运营商拦截、延后推卝送你的验证码短信的,是因为这样做侵犯通信自卝由,并且涉事工作人员是可以进局子的。

    像上面几个按照侵犯通信自卝由判的奇葩例子,不禁也让人想入非非:零几年那阵,还记得 aaazzzaaazzzaaazzz 吗?那阵 SMTP 协议普遍是不加密的,并且只有邮件传输过境了的才会被变成 aaazzz 。14 年那阵有人说,既然大量盗 QQ 号都能算侵犯通信自卝由,那 14 年封掉 gmail (阻止网民登录电子邮件服务器)算吗?另外,运营商劫持 HTTP 网页、往 HTTP 网页里面插广告算吗(这属于全国人大常卝委会 2000 年决定里的“篡改”“其他数据资料”了)?对于前两者,你压根找不到被告。对于后者,你可以告电信联通移动,但是你得有证据证明这数据是电信联通移动篡改的,但是这件事很难取证。

    当然我这只是从法律的角度出发分析,从运营商内部有多容易看到短信,那我就不知道了。不过我还是上面的观点,我认为运营商内部看到短信不是很容易,否则也就不用伪基站了。
    weak
        21
    weak  
       2022-05-26 12:16:05 +08:00 via iPhone
    big brother is watching you
    v2tudnew
        23
    v2tudnew  
       2022-05-26 17:51:05 +08:00
    短信中间环节太多了,但国内你也没办法不是。
    idrawer
        24
    idrawer  
       2022-05-29 21:33:43 +08:00
    是的,而且不新鲜。这就是为什么不要用+86 手机号注册正常国家服务的原因
    zxCoder
        25
    zxCoder  
       2022-06-02 17:33:38 +08:00
    服务提供商也可以。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1037 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 22:31 · PVG 06:31 · LAX 15:31 · JFK 18:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.