B站Android客户端漏洞：绕开邮箱强绑手机！

在刚刚过去的一个月里，“快视频”事件闹的沸沸扬扬。让众多UP主意识到版权保护的重要性，同时也就账号安全给所有B站用户敲响了警钟。B站账号的安全验证分为绑定手机和绑定邮箱两种，无论是进行换绑或者加绑操作理论上都会触发安全验证。从而最大限度的保障账号安全。但是就在刚刚，我准备将我的只绑了邮箱的某手游B站服的账号上架XX猫时，却发现了安卓移动端的一个安全漏洞：可以绕开安全邮箱验证直接强绑手机，然后用手机作为安全验证手段通过网页版修改掉安全邮箱。

由于做视频苦手，接下来我只能用图文的方式来说明情况了(安卓移动端版本号为：5.22.1)：

首先是账号信息，只绑定了邮箱。我们进入—设置—账号安全中心进行加绑手机的操作。

此时正常的触发了安全验证，要求通过已绑定的邮箱接受验证码并填写才能进行下一步。

接着我们退回到设置页，点击实名认证，如图出现一个提示绑定的手机的弹窗。

我们点击去绑定，接着你会发现没有经过任何安全验证直接进入了绑定页面！输入手机号码和验证码即可绑定成功，并且经过测试也没有任何后续验证。

出于方便记忆的原因，很多人的登陆信息都是多个网站或者APP通用。上个月的“快视频”事件更是证明了有心人想要获得你的登陆信息并不困难。我完全可以想象：如果我是某手游交易平台的客服人员，我完全可以在这样的账号上架以后卖出之前这个时段，用这样的手段绕过邮箱验证强绑手机然后修改掉邮箱，神不知鬼不觉的把你的老婆据为己有。

一旦账号信息泄漏，所绑定的安全验证手段就成了最后的保障。B站出现这样的情况实属不应该，由于手上没有IOS设备所以并不清楚IOS版是不是同样如此。希望B站能尽快修复的。同时也提醒B站的诸君：

1.主账号尽量安全手机、安全邮箱双绑。

2.游戏小号尽量避免用常用的登陆信息注册。

3.账号在游戏账号交易平台上架之前一定要进行手机绑定，只绑定邮箱的账号暂时不要在交易平台上架。

最后祝你，身体健康，再见！