这两天，科技圈出了个有点黑色幽默的话题。

小米集团的几位高管，包括雷军的特别助理徐洁云和汽车业务副总裁李肖爽等几个人，集体吐槽自己的手机遭遇了「短信轰炸」。

这就引出了一个很有意思的问题：一家全球顶尖的、制造了数亿台智能手机、并且开发了澎湃 OS 的公司，为什么连自己的高管都保护不了，防不住这种看似简单的骚扰？是技术不行？还是系统太烂？

别急着下结论。这事儿还真怪不着小米，甚至怪不着任何一家手机厂商。

你用 iPhone 或者用别的，也防不住。因为这压根就不是手机层面能解决的问题，而是根植在互联网业务逻辑当中。

这也说明，在高度互联的复杂系统中，最坚固的堡垒，往往会被最不起眼的漏洞攻破。

攻击发生在哪里？

很多人对短信轰炸有个误解，以为是攻击者拿了几百张 SIM 卡，或者搞了个伪基站，对着你的号码狂发短信。

错。大错特错。

如果是那样，成本也太高了。现在的黑产，讲究的是「借刀杀人」。

你收到的那些验证码，没有一条是攻击者自己发的。它们全部来自正规的、合法的、甚至是你常用的互联网大厂和各家机构。

所以短信轰炸的攻击，根本不是针对你的手机，手机只是一个无辜的、被动的接收终端。

这是攻击的本质，是攻击者利用了整个互联网生态中成千上万个第三方网站和 App 短信接口的逻辑漏洞，这在技术上叫「接口反射攻击」。

大家都知道，互联网上有成千上万个网站和 App，为了为了方便用户注册、登录，厂家都提供了一个功能：输入手机号 -> 点击「获取验证码」 -> 网站给手机发短信。

但问题在于，网站会认为「持有手机号的人」和「点击发送按钮的人」是同一个人。

但是上，任何人，都可以在任何登录框里，填上任何手机号码。

反正我有时候手滑了，就会把验证码发到别人那去，自己还搁这傻等等不到验证码。

所以，攻击者只要收集一个庞大的「接口库」，积累成千上万个网站和 App「发送短信验证码」功能的 URL 列表，就相当于备足了弹药。

然后，只要拿到目标对象的手机号，攻击者就会在云端服务器上，用极高的并发向这个接口库里的所有 URL 发送请求。每一次请求，提交的都是受害者的手机号。

对于网站来说，他们收到请求后，就会认为是真实的用户在操作，于是就会调用短信网关服务，通过运营商发送到指定的手机号码。

对于手机来说，他一看，支付宝、京东、招商银行、国家电网、美团、饿了么……都是合法合规的号码和应用，这肯定不能当成骚扰短信进行拦截啊。

于是，在这个过程中，攻击者只消耗了微不足道的服务器资源和流量。而那些被利用的网站和 App，真金白银地支付了每一条短信的费用。受害者，则承担了所有的骚扰。

攻击者甚至不需要自己的手机，也不需要买一张 SIM 卡。他们只是巧妙地「反射」了整个互联网的接口，将其汇聚成一股针对具体个人的短信轰炸。

手机厂商为什么束手无策？

理解了攻击原理，就很容易明白为什么小米作为手机制造商会感到无奈。因为整个攻击过程，完全发生在「上游」，在云端和运营商网络里就已经完成了。

当短信到达手机时，一切都已既成事实。

手机终端的防御能力在这里受到了几个根本性的限制：

传统的垃圾短信拦截，依赖于黑名单。但短信轰炸的来源是成百上千个不同的、合法的企业服务号码。你不可能将中国工商银行、国家电网的号码拉入黑名单。这种分布式、非单一源的攻击，会让黑名单机制彻底失效。

所以，当手机操作系统（无论是澎湃 OS 还是 iOS）看到的是一条条来自「106」开头号码的正规验证码短信，它无法判断这条短信是用户本人在操作 App 时主动请求的，还是攻击者在千里之外恶意触发的。从内容和来源上看，这些短信完全合法。

而且，手机作为通信网络的终端，必须遵守 3GPP 等国际组织制定的标准。只要手机在网，它的基带芯片就必须时刻监听网络发来的信号。手机没有权利在信号抵达之前就「拒收」。它只能在完整接收并解码短信内容后，再由上层的操作系统进行处理。但此时，手机的震动、铃声、通知亮屏可能已经发生，骚扰的目的已经达到。

退一步讲，假如小米在操作系统里内置一个激进的拦截策略，比如「一分钟内收到超过 10 条验证码短信，则自动屏蔽所有后续验证码」，会发生什么？万一用户正在参加一场激烈的在线秒杀、或者进行多笔银行转账，这种拦截机制将是灾难性的。

很多手机其实已经做了一些优化，比如「通知聚合」功能，可以把杂乱的验证码短信折叠起来，让界面显得清爽一些。但这治标不治本。在底层，每一次短信的接收都会触发系统广播，唤醒 CPU，进行数据写入。短时间内成百上千次这样的操作，足以导致手机卡顿、发热，并急剧消耗电量。

所以，说「造手机的防不住」，并不是在推卸责任，这是个系统性的漏洞。

其他环节能防吗？

短信轰炸这个问题的根源，在于那些提供了短信接口的开发者，以及提供基础设施的运营商。

绝大多数 App 和网站的开发者，在设计「发送验证码」这个功能时，几乎没有考虑过它会被恶意利用，很少有 App 或网站会在用户请求验证码时，先让用户进行一次人机验证，因为这相当于在卡用户的注册流程，产品经理会跟程序员拼命的。

又或者，我们自然会想，既然所有短信都要经过中国移动、中国联通、中国电信的网络，它们为什么不能在网关层面直接把这些骚扰拦截掉？

但是，运营商在通信协议中扮演的角色，更像一个「中立」的邮差，而不是一个「智能」的审查员。

毕竟，大多通过「106」开头的号码都是工信部审批的正规资源，而运营商显然不能武断地替用户去判断真伪。

当然，运营商也并非毫无作为。比如中国移动就推出了

提供了一种「杀手锏」服务，通常叫做「短信炸弹应急防护」服务，用户如果主动给客服打电话，就能短时间对所有发往用户的端口类（包含端口、固话、国际号码）短信进行全量拦截。

但这种做法属于自断一臂。在开启防护的时间里，你的世界清静了，但你也同时变成了一座信息孤岛，无法使用任何需要短信验证的服务。

所以，这只能作为临时手段，无法常态化。

黑产与治理

有需求，就有市场。短信轰炸已经催生了一条成熟的黑色产业链。

• 上游：有人专门负责用爬虫全网扫描，挖掘存在漏洞的短信接口，维护和更新「接口库」。
• 中游：有人负责将这些接口封装成简单易用的工具，（在此省略 1000 字）
• 下游：购买服务的人，可能是为了报复的个人，可能是打击竞争对手的商家，也可能是进行敲诈勒索的犯罪分子。

其实监管机构和公安部门一直在开展「净网」行动，打击这类黑产。 提供短信轰炸工具的行为，可以被认定为「提供侵入、非法控制计算机信息系统程序、工具罪」。但治理的难点在于，攻击源头分散在云端，攻击工具的销售渠道又往往在境外，取证和追溯都非常困难。

只要互联网上还存在大量疏于防护的短信接口，这个毒瘤就难以被根除。

结语

话说回来，小米高管集体被轰炸，也可能会带来一些改变。

因为这些大佬平时很少能直接体会到这种来自泥土里的恶意。只有当他们自己也被炸得灰头土脸的时候，他们才会真正意识到：

我们的数字基础设施还很脆弱。

在万物互联的时代，安全不再是任何一个单点的能力，而是一条由所有参与者共同构成的链条。

对于小米来说，他们能做的是不断优化系统的骚扰拦截算法，但这只是在防洪大堤上加高一厘米。而真正的洪水，来自于上游无数个漏水的、无人看管的水龙头。

要想彻底解决问题，需要的是一场从身份认证逻辑到开发者安全责任的全面革新。在这之前，恐怕我们每个人，都依然是潜在的受害者。