安卓应用市场乱象调查：
手机壁纸能读你的通讯录 浏览器可能随时给你录音
安卓应用过度授权、权限滥用，通讯录、地理位置，甚至短信等被APP读取，严重威胁用户隐私安全，背后是贩卖隐私信息的利益链
&&&&“手机APP好像会在情趣用品打开时一直录音。”&&&&今年11月初，网友“tydoctor”在美国著名的社交新闻网站Reddit上曝光了这一消息。他说，自己在准备重置手机时发现了存储在某应用文件夹内的一条音频，“时间长达6分钟，就是上一次我用这个应用遥控情趣用品的时候录的。”&&&&tydoctor还写道，该应用获取了使用麦克风和照相机的权限，但他以为这些权限仅用于应用内置的语音消息发送功能。“在任何时候，我都不希望应用录下我使用情趣用品的全过程。”&&&&值得注意的是，tydoctor所使用的是安卓手机系统，而这一事故，也使得安卓应用存在已久的过度授权、权限滥用问题再次浮出水面。不少网友纷纷跟帖表示，曾有类似的遭遇。“很多手机应用都会在未授权的情况下录音。”“另一家情趣用品厂商也出过类似的事情，把用户的使用习惯等数据上传到服务器。”&&&&如果你以为这只发生在国外，或只在情趣用品APP中存在，那你可能太乐观了。&&&&早在2014年，央视《每周质量报告》就曝光过大量安卓手机应用在安装时需要开放通讯录、地理位置等权限，从而严重威胁用户隐私安全的情况。彼时有业内人士分析，这一现象的背后是贩卖隐私信息的利益链已形成，不法手机应用厂商通过手机权限获得用户的隐私信息后再转卖，从而获得不菲的灰色收入。&&&&日前，南都记者通过调查和技术测试发现，几年过去，上述问题并没有得到解决，反而由于互联网对大数据的需求升级，变得更为混乱。&&&&南都测评50款APP&&&&&48款要获“越界”权限&&&&在各类安卓应用中，游戏一直是安全问题高发区。360联合D&CCI发布的《2016年中国手机安全生态报告》显示，2015年，测试样本中94.5%的游戏应用都会获取位置信息的权限；89.1%能够读取用户短信，93.6%能够读取通讯录，虽然这些数据在2016年有所下降，但其中多项数值仍高于非游戏类A&PP.&&&&这份报告同时指出，获取手机通讯录、短信、通话记录、位置信息等都被视为读取用户核心与重要隐私的行为，它们较读取Wi-Fi、蓝牙等设备信息更加危险，用户应给予重点关注。事实上，绝大部分安卓用户没有注意到这一点，遭受经济损失的案例时有发生。&&&&2014年，宁波市警方曾破获一起案件，3名犯罪嫌疑人用技术手段窃得游戏用户小顾在游戏应用上注册的名字、身份证号、手机号码等信息，随后利用这些信息办理假身份证，再用假身份证去通信营业厅挂失小顾的手机号并补办新卡，最后再用这张新的手机卡重新设置小顾在网络游戏中的密码，将价值20多万元的游戏币窃走。&&&&小顾的案例并非孤例，为了调查安卓应用越界获取隐私权限的情况，南都记者以今年大热的王者荣耀为例，选取了华为应用市场、应用宝、百度手机助手、360手机助手、豌豆荚、小米应用商店6款常用安卓应用市场，按照搜索“王者荣耀”关键词排名前后的顺序，选取了50款王者荣耀周边应用作为考察对象。&&&&需要注意的是，王者荣耀周边并不是指王者荣耀官方游戏本身，而是指王者荣耀游戏风靡后，其他应用商就此主题开发的各种游戏相关的辅助或扩展类应用，例如助手、壁纸等。它们通常会由于游戏的热门下载量巨大。&&&&南都记者首先查看了50款A&PP在应用商店简介中的权限列表。在安卓系统的应用商店中，通常要求应用开发者填写“权限列表”，用户在下载前很易查看。&&&&令人担忧的是，一些开发者在简介中就堂而皇之地列出了大量不会使用到的“越界”权限，包括使用录音与摄像头，读取手机通讯录、短信，甚至获取你精确的地理位置。&&&&在南都选取的50款A&PP中，应用简介列出的权限总体大致有28个，包括拍摄照片和视频、读取通讯录、读取/发送短信、录音、获取精确位置、修改SD卡中的内容等。&&&&依据A&PP的自身功能，南都记者把这些权限标记为“核心”、“可选”和“越界”三种。&&&&“核心”权限是指不获取就无法正常使用A&PP核心功能的权限，例如视频类A&PP需要调节音量大小：“可选”权限是指即使用户拒绝授权，也不影响使用A&PP核心功能的权限，但这些权限可能在A&PP的非核心功能中会使用：“越界”则指A&PP没有必要获取的权限，例如主题壁纸类A&PP要求读取用户通话记录。&&&&根据A&P&P的类型不同，它们的“核心”权限也有所差异。&&&&助手类和论坛类A&PP主要为王者玩家提供攻略、视频等资讯，实现核心功能基本无需获取用户隐私；主题类A&P&P主要提供下载皮肤、壁纸等功能，核心权限可能包括将图片存储在S&D卡中；视频类A&P&P则必须要有更改音频设置的权限；浏览器类A&P&P的核心功能是搜索，无需获取用户隐私。&&&&尽管这50个A&PP覆盖了28个隐私相关权限，但必不可少的“核心”权限不多。&&&&南都记者统计的结果显示，50个A&PP中，仅有2个列出的所有权限都是必须要获取的“核心”权限，却有5款A&P&P所列出的所有权限均“越界”。其它A&PP则或多或少都要求获取“越界”或“可选”的权限，其中23个A&PP的“越界”权限占比超过50%.&&&&有浏览器可随时随地给用户录音&&&&这些“越界”的权限是哪些？&&&&以“王者荣耀攻略”为例，该A&PP由吕元飞开发，提供游戏相关图片和视频，基本只有展示功能，但它要求获取修改系统设置、地理位置、查看手机状态和身份等明显与核心业务不相关的功能。&&&&圆圆是一名王者荣耀玩家，她告诉南都，自己下载“王者荣耀攻略”就是想看看攻略，学习怎么把游戏打得更好，并未留意会收集自己哪些信息。“而且一般A&PP如果收集位置信息不是会提示么，我没有收到提示哎。而且这个A&P&P显示通过安全检测，就没有看过其他的了。”圆圆说。&&&&事实上，多数用户都与圆圆一样，对于应用普遍存在获取“越界”权限的问题并不注意。&&&&在南都查看的5款A&PP中，最严重的当属“获取精确位置”权限，有29个无相关功能的A&PP要求获取，尤其令人匪夷所思的是，其中还包含不少主题类和视频类A&PP；19个A&PP拥有“读取通讯录”的权限，其中也不乏只有几张图片的主题壁纸类应用；14个A&PP称需要“读取短信和彩信”，甚至还有12个A&PP可以主动“发送短信”。&&&&这些权限无一例外与A&PP的核心功能毫不相关，却与用户隐私有着密不可分的关系。&&&&位置信息可以用来勾勒出用户的行动范围和路线，从而精确定位到个人；通讯录则包含了他人的电话号码，一旦授权获取并被用于商业目的，将对自己和他人都造成困扰。南都此前就报道过，一些社交应用强制要求用户在注册时开放通讯录权限，并利用获取到的联系人信息发送推广短信，很多人不胜其扰。&&&&还有更奇葩的。豌豆荚里的“王者荣耀浏览器”被安装到手机之后，除了拍照、位置信息的权限，它还要求用户开放录音权限。也就是说，一个浏览器可以随时对你录音。&&&&据安卓市场官方简介，“王者荣耀浏览器”由“广州掌阔信息科技有限公司”开发，公司地址为广州市天河区黄村大道自编98号。&&&&南都记者根据地址找到这家公司。虽然正值工作时间，但仅数平米的办公室内只摆放了一张桌子，没有一个办公人员。类似这样的“公司”，在同一楼层还有至少30间，都是门上贴着公司的名字，“办公室”里却非常狭窄，大部分连一张桌子都没有，更没有一位员工，并不像有人办公的正规公司地址。此外，南都记者也试图通过电话与公司联系，听闻是记者，对方立即挂断了电话并不再接听。&&&&实际读取权限，与介绍可能不同&&&&如果说应用商店简介中列出的权限已令人担忧，A&PP真正获取的权限许可就可谓触目惊心。&&&&一款A&PP中，除了应用商店简介，通常还能从另外三处查看到获取权限列表：第一处，是安装应用时（或首次打开时）跳出的权限列表，用户直接可见。但记者随机采访了20名安卓手机用户，其中19人都表示从来不会仔细看这个列表“太长了，不会认真看。”&&&&第二处是安装包中的xm&l文件。网络上的安全测试平台多可测试出这一列表中的权限，它相当于列明了一款应用“向安卓系统申请允许读取用户哪些权限”。&&&&“这虽然不代表应用一定会读取列表中权限关联的各项隐私，但通俗地说，这像是拿到了打开你家门的钥匙”。爱加密科技有限公司工作人员萧何向南都介绍。&&&&而第三处，则是程序中与敏感权限相关的代码行，北京大学软件安全小组组长张汉与萧何均向南都介绍，代码行中出现的权限相关命令可以认为只要条件合适就会开始读取用户相关权限，与实际的行为几乎等同。&&&&据此，南都记者以感融互联网金融服务有限公司的“王者荣耀视频网”（百度手机助手下载）为例进行了更加详细的测试。&&&&在北京大学软件安全小组、北京邮电大学软件学院与爱加密科技有限公司技术帮助下，南都将这款应用上述四处的权限一一列出对比（见图1）。&&&&测试显示，王者荣耀视频在简介中称只会读取用户6项权限，但安装时弹出的提示中则列出了20项权限，在安装包中至少向安卓系统申请了21项权限的许可。技术人员则从其代码中又发现了“获取手机IM&EI编号”与“网络下载”等10项敏感函数。&&&&这意味着，一个A&P&P代码中写入的隐私获取命令与申请读取的权限不同，申请读取的权限与通知用户的不同，通知用户的与简介中的也不相同。&&&&可以说，一个用户想确切获知一款应用究竟获取了自己哪些权限，十分困难。&&&&越界背后：商业利益“不要白不要”&&&&退一步说，即使获得了完全的权限列表，用户就能做出有利于自己的选择吗？&&&&答案是否定的。正如开篇的例子中，用户同意A&P&P开启麦克风，以为只是用于发送语音，谁知却会被录音。&&&&一位从事安卓手机开发的技术人员告诉南都记者，实际上获取大部分用户隐私信息并不用来完成应用某项功能，而是用于进行未来业务规划。&&&&“比如说拿到用户的位置，就知道自己的用户在哪个省份比较活跃，未来如果公司想开线下实体店，就会优先选择某些省份；而拿到用户的通讯录，主要是为了社交联系，推荐你通讯录里的好友也来使用同一产品”。上述技术人员表示。&&&&对于这一现象，360安全专家刘洋告诉南都，开发者获取用户隐私信息大多是为了营销和推广。“推送精准的广告需要对人群精准地锁定：会用我产品的人是男是女？收入什么水平？手机里都有哪些应用？……这些人群的描摹工作都是通过大量的用户数据完成的。”&&&&值得注意的是，一些应用在开发过程中还会将其中一些功能模块交给第三方来实现，如接入一个云服务的模块、插入一个流量统计的模块等，这些第三方公司也同样可以从应用中获取用户权限。&&&&“第三方的功能也不一定需要这些权限，但既然开了这个端口给我，大家的想法就是不要白不要……”上述安卓开发技术人员表示。&&&&可见，大多数隐私信息的获取实际上并非为了方便用户，而是有利于应用开发方的商业利益。&&&&如此轻巧地获取与使用用户的隐私权限，对应的现实却是安卓令人担忧的安全现状。据相关报告显示，几乎所有的安卓手机与应用都存在大大小小的漏洞，一旦被攻破，用户的隐私便会“裸奔”。&&&&以读取短信的权限为例，刘洋告诉南都记者，对用户来说，它主要的作用是收到验证码时懒得手动复制，需要程序自动填入时会用到，此外，还可以方便保存短信的内容到应用中。&&&&然而，大多数用户并未意识到，短信内有收取验证码、银行余额信息等个人隐私，安全意义重大。&&&&如若不小心安装了短信拦截木马，就会读取手机中的短信内容，后台自动回传到木马制作者指定的邮箱或手机上，这不但会使更多的骚扰电话跟随你，还可能有不法分子利用拦截到的短信验证码，登录支付平台、电商网站进行盗刷。更有耐心的犯罪分子，会通过非法渠道购买到银行卡账号、交易密码、身份证等信息，进入网上银行，进行直接转账，甚至帮受害者申请几笔小额贷款。&&&&据3&6&0公司20&17年第一季度数据统计，发现今年新增的短信拦截马恶意程序就有5&6&7&6&2个，在隐私窃取类的恶意程序中占了近1/3，共感染了675761部手机。&&&&因此，用户即使能够看到权限列表，但不能清晰地知晓这些权限会带来的影响，这种“知情”意义有限，付出的代价却是巨大的。&&&&安卓原生系统多被改，“明示同意”难实现&&&&“知情”尚且如此困难，“同意”似乎更无从谈起。&&&&日起正式实施的《网络安全法》第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。然而，南都记者发现，除了常见的开启相机、定位、麦克风弹窗提示外，很少有A&P&P会明示告知用户将获取其它权限，并主动弹出窗口获取用户同意。&&&&既然《网络安全法》规定，获取用户信息需要“明示同意”后才能得到权限，安卓应用市场为何不能规范应用对权限的获取行为并提供“明示同意”服务？&&&&实际上，安卓系统早已注意到这一点。2015年5月，安卓推出6&.0系统。在此之前，安装应用时跳出的权限只有一个列表，要么通通同意，点击“安装”，要么拒绝全部，直接“取消”。这实际上是一种形式化的“明示同意”，用户并没有真正选择权。&&&&为了改变这一现状，安卓6&.0及以上的版本将权限分为两类：一类是普通权限，不涉及用户隐私，不需要进行授权，比如手机震动、访问网络等；另一类是危险权限，涉及到用户隐私，在使用时需要用到此功能时进行弹窗提醒用户授权。&&&&这一更新无疑很好地规范了权限获取与“明示同意”的应用行为。&&&&然而，南都记者通过试用发现，国内常用的安卓手机大都不使用安卓原生系统，而是对安卓系统进行了改写。例如，华为手机在下载华为应用市场中的应用时并不会跳出授权弹窗，小米手机也对从小米应用市场中下载的应用进行了“豁免”。&&&&“手机厂商会根据自己的需要对系统进行改写，他们会自己编写想要的权限明示方式”，刘洋对南都记者说。&&&&由于手机原生应用市场会对上架应用进行安全检查，因此豁免手机原生应用市场的应用并不是最令人担心的。&&&&更可怕的是，南都记者尝试用系统已经更新的魅族手机下载了百度手机助手，并在助手中下载了“王者荣耀论坛”，在安装时，系统弹出权限列表，并允许用户逐项选择“开启”、“关闭”或是“使用时询问”，做到了明示同意。&&&&在列表中，南都记者对摄像头、音频等功能点击了“使用时询问”选项。随后，记者打开应用，试图拍摄一张照片并发布，但却发现系统没有跳出询问弹窗便直接使用了拍照功能。这意味着，安装时用户的授权形同虚设，应用绕过授权获取了用户的相机权限。&&&&事实证明，不同手机厂商，不同应用商店都会根据自己的需求对于权限授予做出改变，用户面对的依然是一个杂乱而无法掌握的安卓权限获取现状。&&&&延伸阅读&&&&苹果iOS系统会比安卓系统更安全吗？&&&&Android系统自2008年发布以来到现在，市场占有率已达到87%，这是A&ndroid系统开源性带来的结果。而高速发展的背后，却是以牺牲用户安全作为代价。权限控制是A&ndroid系统应用程序安全最为核心的机制，而权限授权的宽松和管理不成体系的现状更是A&ndroid系统不安全的一个原因。&&&&据介绍，早期的A&ndroid版本，所有的权限都对外开放，任何A&PP都可以申请获取，比如读取通讯录、读取短信等，是否申请依靠开发者的“自觉”。这些权限只在安装的时候提示用户，只有同意才能使用A&PP.并且，一经授权就不能取消，除非卸载A&PP.随着A&ndroid系统对安全的注重，A&ndroid4.3版本出现了权限管理功能，但是对用户隐藏。直到A&ndroid6.0以上的版本，权限的划分与授予才更加严格。&&&&不同于A&ndroid系统，iO&S系统在设计之初，权限的管理十分严格。“如果苹果认为一个A&PP权限要求过分的话，会直接拒绝其上架。对于合理的权限，苹果会弹框征求用户的授权。”从事移动、智能设备安全研究的陈安给南都举例，“比如输入法在iO&S上从无到有的过程”。&&&&陈安介绍，输入法实际上是一个非常隐私的功能，在用户输入银行账号、密码时，输入法很容易检测到用户正在点击哪些键，而且可以将它们传回服务器。苹果基于安全的考虑，很长一段时间都并未上架其他第三方输入法。虽然现在第三方输入法已经上架，但是它们的输入场景受到限制，比如输入银行账号、输入支付密码的场景，不会让用户使用第三方输入法。此外，iO&S还限制它们回传数据的接口。“这些都是苹果的硬性规定，只有满足这些规定的输入法才能上架。而A&ndroid没有这样的限制。”陈安说。&&&&相比于iO&S商店的规定，A&ndroid应用市场就显得宽松。在A&ndroid商店中，一款手电筒A&PP都可以拥有获取通讯录、读取短信的权限，而A&P&P并没有提供与此相关的功能。“这是A&ndroid应用商店没有官方体系控制的缘故。”陈安解释道。&&&&iOS市场只有一个，只有满足苹果要求的应用才能在其平台上架，并且，只能在苹果应用商店下载。比如，想要下载iOS版Q&Q，在Q&Q官网都不能下载，只能在苹果应用商店下载。“目前，国内的A&ndroid市场大概有300多家，其中只有40-50家大中型市场有完善的审核机制，剩余的200多家都是没有的。”爱加密的安全技术人补充道。&&&&另一方面，在系统设计上，A&ndroid系统的设计较之iO&S宽松。&&&&iO&S系统是实行严格的基于沙盒的控制。所谓沙盒是指iO&S系统为每一个A&PP创建单独的区域，其所有的非代码文件比如图像、图标、文本文件等全部保存在这个区域中，每个应用程序只能访问自己的空间，不能翻过“围墙”去访问别的A&PP的存储空间。&&&&陈安解释说：“一个软件在iO&S系统上运行时，它是检测不到其他软件的，而且它会有一种感觉，它是唯一运行在手机上的A&P&P.而A&ndroid系统不一样，任何软件都可以增、删、改、调其他的A&PP.”陈安表示。&&&&北京大学软件与微电子学院教授文伟平表示：“A&ndroid系统是一个开源系统，其从根本上是开放源码的，移动A&PP应用的信息获取可以在A&ndroid系统架构的每一层进行实现，即使在应用层上进行权限控制，但是有些病毒完全可以在其他实现层获取到信息并且在应用层上不提示。”&&&&“但也并不是说苹果系统就一定安全，iO&S系统只是把用户的数据信息都收集在自己手里，而没有随意共享给第三方，而他们拿这些信息做什么，我们也无从知晓”，文伟平教授说。&&&&采写：南都记者&娜迪娅&冯群星&&&&蒋琳&申鹏&李玲&实习生&尤一炜
开启桌面通知
开启后，有重磅新闻时浏览器会向你推送动态通知玩王者荣耀的，为什么开语音的那么少？ - 知乎27被浏览<strong class="NumberBoard-itemValue" title="1分享邀请回答1添加评论分享收藏感谢收起平板/笔记本
HiLink生态产品
终端云服务专区
玩王者荣耀为什么语音听不见队友说话？
&登堂入室&
来自：荣耀V8 KNT-AL20
是哪里没设置好吗？谁知道！
width:100%">
&登堂入室&
来自：浏览器
我的还可以
width:100%">
&花粉特种部队&
来自：浏览器
首先检查游戏内的声音设置，其次确定手机的媒体音量，都是正常开启的情况下重启下手机再重新进入游戏看看
width:100%">
&登堂入室&
来自：荣耀V8 KNT-AL20
瞧布斯 发表于
首先检查游戏内的声音设置，其次确定手机的媒体音量，都是正常开启的情况下重启下手机再重新进入游戏看看 ...
跟权限设置有关系吗？会不会是权限哪里禁止了？
width:100%">
&花粉特种部队&
来自：浏览器
跟权限设置有关系吗？会不会是权限哪里禁止了？
你听不到对方声音，这个根权限没啥关系，如果对方听不到你的声音有可能是麦克风权限禁用了 不行就卸载重新安装下试试看看，或者在应用管理中删除下存储的数据 重新加载一下
width:100%">
&登堂入室&
来自：荣耀V8 KNT-AL20
width:100%">
&新学乍练&
来自：浏览器
我。。。我是来拿分的
width:100%">
&登堂入室&
来自：浏览器
我的MATE 8也有这情况，若是我开语音说话，我就听不清楚队友的语音聊天了，我只有关掉我的语音，才可以清晰听到队友的语音，每次说完话我就得关掉，听完要说话再打开
width:100%">
1000万花粉
纪念花粉俱乐部注册花粉数超过1000万
花粉特种部队荣耀勋章
西湖——长桥老铁轨上来一组人像Memory的Melody不负好春光拍拍拍~7X全屏摄春福建南靖珠坑社黄花风铃木
花粉客户端
Make it Possible
Make your device special
华为云服务
Huawei cloud services
音乐播放器
Huawei Music
Huawei Vmall
关注花粉俱乐部
举报邮箱：
|关注花粉俱乐部：
Copyright (C)
华为软件技术有限公司 版权所有 保留一切权利承德玩王者荣耀的必看，骗子这样盗号骗你朋友钱，还有你的语音，套路满满防不胜防！
近日，秦淮警方发现一种新骗术，
骗子以帮你充值为借口套取你与游戏绑定的微信号信息，
然后截取你与对方聊天的微信语音，
向你身边的朋友借钱...
帮好友付账钱却到了骗子账户
8月2日，张小姐接到几个好友的电话，上来就问张小姐为什么还没有还钱，这让张小姐很纳闷，自己没问他们借钱，怎么都给自己打电话要钱。
张小姐一问才知道，他们昨天收到了自己的微信，问他们借钱买东西，张小姐立马反应过来自己的微信号可能被盗了。
在朋友接下来的描述里，张小姐发现了一件不可思议的事：对方为了证明就是微信号的本人，还曾给他们发过语音，声音和张小姐的一模一样。
这下张小姐傻了眼，这到底是怎么回事，难道是有人能模仿出自己的声音？
不少张小姐的朋友也纷纷表示，是不是张小姐在和自己开玩笑，他们明明听到的声音就是张小姐本人。
为了防止损失进一步扩大，张小姐立即在朋友圈发布了一条公告，通知朋友们自己微信被盗，如果借钱一律不是本人。同时张小姐立即向秦淮警方报警，反映了自己这段诡异的经历，希望民警能帮自己找出答案。
到底怎么回事？警方揭秘真相！
洪武路派出所接到报警后，立即对案件进行了调查。民警将所有的受害人进行了统计，发现一共有5个人上了当，受骗金额为3000元。
随后，民警索要了所有人微信聊天的截图，很快就发现对话就是完全一样。更重要的是，受害人提到的微信语音也一模一样，这就像是复制和粘贴的场景让民警想到，是不是有人录下了张小姐的声音？
民警在与张小姐聊天的时候发现，最近张小姐曾将自己的微信账号密码给过其他人。
原来张小姐是个王者荣耀的爱好者，前两天一个经常和她玩游戏的好友发来消息，因为张小姐一直带他赢，所以对方想要通过帮她充点券的方式报答张小姐。张小姐听到这个消息很高兴，加了这个游戏里朋友的微信就热切地聊上了。
与一般的游戏不同，王者荣耀的账号不是微信号就是QQ号，所以对方想要充值，就要登录张小姐的微信，张小姐也没多想就交出了微信的账号密码。
期间双方都在用微信交流，张小姐曾经多次发出语音消息，其中一句的内容为“是我是我”。就是这句话，被这个居心叵测的骗子截取下来，在骗得了张小姐的微信账号后，又用这句话骗得了其他人的信任。目前，警方已经立案侦查，相关工作正在进一步开展之中。
警惕这些微信骗局！
“朋友”微信问你要这个？小心！
当你收到朋友微信告知因刷机通讯录丢失、让你发手机号给TA时，请千万留心，当他进一步发短信给你，并请你告知验证码时，就请一定注意了！你的微信支付被人盗用，微信好友被人骗钱，都可能源于你的这个操作。
有专业人士称，这种情况的出现，往往是因为跟你对话的好友，已经不是好友，而是被骗子盗用了他的微信。
通过盗用微信，他可以看到你的微信，然后在他自己手机上登录后，但因为不知道你密码，所以他就使用找回密码功能，微信方会发一个验证码到你的手机号上，你如果把这个验证码告诉他了，他就算是找回密码验证成功，可以登录上你的微信了。
一个微信“头像”，骗走亲戚2万元！
在微信里，人们以名称和头像来判断一个人的身份。凭借此标识，人们在朋友圈内观察朋友发布的内容，在群里聊得热火朝天。你可曾想过，这些内容确实是你的好友发布的吗？你怀疑过他们的身份吗？
武汉女子小芳今年4月认识了货车司机小金，两人迅速发展成男女朋友。小芳无意中对小金提起，自己有2万元放在妹妹那里。说者无意，听者有心，随后小金将自己的微信头像更改成女友小芳的照片
今年4月21日，玲玲在微信上收到“小芳”的信息，说急需用钱，要将2万元取出来。玲玲信以为真，将钱转给了“小芳”。事后两姐妹通电话，骗局被揭穿。小芳将男友扭送到派出所。
分析发现，不法分子可以下载用户的头像更换在自己的账号上，并修改了和用户一样的名称，摇身一变成为微信里的另一个你。
其实，如果点头像查看其个人资料，可以从微信号判断其真伪，但朋友圈是具有高度信任感的社交工具，一般用户并不会如此警惕，这给充满恶意的发布者留下了操作空间。
有网友自己总结的内容在朋友圈内传播：别人可以下载你的微信头像，然后把昵称改成你的名字，再屏蔽朋友圈对你可见，就可以完全冒充你，其他人无从分辨，一些不法分子利用这点行骗。所以有用户向好友发出提醒：“有人以我的微信头像和名称借钱一定是假的，请电话确认。”
如何防范？
提高自身防范意识
保管好个人信息，不随意透露个人隐私信息。用户一定不要随意透露个人的身份证号、银行卡号，尤其是短信验证码。
一定要打电话确认
微信团队提醒用户：对于朋友在网络聊天中提出打款要求，一定要打电话确认；对于网上不明链接和非官方软件不要随意点击下载，财务人员要特别留意所谓的免费财务学习资料，这些大多数是钓鱼链接。如果QQ号或者微信号被盗，请马上到110.qq.com冻结；
另外，除了短信验证码被不法分子获取导致微信被盗之外，QQ被盗也会导致关联的微信沦陷。别人获取QQ密码后，即可登录个人微信账号，并可任意取消或者重新绑定新的QQ账号登录微信。登录后可以借微信所有者的名义进行行骗，甚至进行微信支付等等。因此，如果有微信好友提出借钱或者要求发送号码等隐私信息的要求，一定要先进行电话或者语音联系后再决定。
被盗号后要这样做
对于用户关心的盗号问题，微信团队给出了三步解决方案：手机QQ、微信上开启“设备锁”、“账号保护”；手机、电脑管家开启“账号宝”，如果有被盗号风险，手机电脑管家会第一时间进行警示；用下载QQ安全中心手机版，绑定手机，每次登录QQ时，输入验证码即可。如果发现QQ被盗，请即刻到aq.qq.com或QQ安全中心手机版改密或申诉，如果发现微信密码被盗，可立刻登录110.qq.com，也可以登录微信官网，申请“冻结账户”。
请阻止骗子继续行骗
当发现对方为仿冒的骗子时，请立即告知真正的好友和其他朋友，阻止骗子继续作案，发生财产损失时第一时间报警寻求警方协助。
赶紧提醒身边人！
来源：现代快报 南京晨报 河北新闻广播
编辑：建安
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点