小米高管遭遇短信轰炸,造手机的巨头竟也难逃骚扰之苦？

小米几位高管的手机这两天被一堆验证码短信堆满了。徐洁云、李肖爽在社交场合都抱怨过这事儿，接到的短信来自支付宝、京东、招商银行、国家电网、美团、饿了么这种看上去都很正规的号码。手机显示的每一条，表面上都像是合法通知，实则是被别人当成了靶子。

收到这么多短信的瞬间，大家感到的是烦，但更重要的是无力。短信已经到了终端，铃声震动、通知弹出，这些都是真实发生的。对用户来说，手机已经被轰炸过了；对厂商来说，防护到这一步就停住了——因为攻击并不是从手机发起的。

把时间往后倒一点看，会发现这些短信并非由某个坏人拿着几百张 SIM 卡一条条发出来。成本太高，而且没必要。真正的手法是把大量网站和 App 的“发送验证码”接口当作“枪口”。攻击者在云端用程序把受害人手机号填到这些接口里，网站看到“有人请求验证码”，就按程序把短信通过运营商网关发出去。每一次请求都像是替人按下了获取验证码的按钮，但按按钮的人并不是手机号的持有者。

这类做法的核心逻辑可以叫接口反射：攻击者把第三方的短信通道当成放大器，自己不需要手机号也不需要 SIM 卡，成本是云服务器和流量，实际发短信的成本却由各个被利用的网站和平台承担，受害人承担骚扰。对手机系统来说，一条条来自“106”开头、正规渠道的验证码短信，既看不出恶意，也难以辨别是否是用户本人请求的。

再往前看，是这些网站在设计验证码流程时的简化。很多服务为了降低注册门槛，直接实现“输入手机号，点击获取验证码，系统发短信”的链路，很少在发短信前做更严格的校验。加一个人机验证，会让转化率下降，产品经理和开发就会尽量避免麻烦。于是接口就变成了对外的可滥用资源。

运营商在这其中的角色也有限。运营商更像邮差，负责把短信从网关送到终端。大部分106号段是经审批的资源，运营商不能随便替用户判断内容真伪。确实有应急工具，比如某运营商推出过所谓的“短信炸弹应急防护”，可开启后会把端口类短信全部拦截，短时间内能止住轰炸，但代价是你自己也收不到任何验证短信，很多服务就无法用了，这只能是临时自救。

手机端也不是完全无能为力，但空间有限。传统靠黑名单去拦截垃圾短信，在面对源自成百上千个正规服务的验证码时失效。系统可以做通知聚合，把一串验证码折叠成一条，减少视觉干扰，但底层每条短信仍然会触发系统广播，唤醒基带和 CPU，写入存储。短时间内成百上千次的唤醒，会导致卡顿、发热、耗电，体验依旧糟糕。要在操作系统层面做更激进的规则，比如设定短时间内超过某阈值就屏蔽，这又会把正在进行的合法操作误伤——用户在抢购、转账、验证身份时可能因此失败，后果严重。

事情往更远的层面看，市场上已经形成了围绕这类攻击的产业链。有人出售接口库、有人打包好攻击工具、有人提供云并发服务。监管和警方在打击，但操作上有难度：攻击源分散、工具常通过境外通道售卖，取证、追踪都很复杂。只要互联网里还存在大量未加校验的短信接口，这种问题就难以彻底消灭。

回到小米这件事本身，几个高管被波及后，内部也开始动起来了。系统团队在做两件事：一是优化短信通知层的聚合和静默策略，减轻终端的即时骚扰；二是和云端、安全团队一起排查外部被利用的接口，尝试从源头减少被滥用的机会。那些改动不会一夜见效，但比起什么都不做，总是有用的。顺便说一句，高管们自己被炸，反倒让决策层更能体会到底层用户的真实痛点，事情会推进得更快一点。

技术团队还在梳理日志，试图拼出攻击请求的路径；产品团队在讨论是否以及怎样把额外的轻量级人机验证加到关键流程里；运营团队同运营商沟通，希望在网关层面能设计更灵活的防护开关。外部监管也在跟进，相关部门在调查提供攻击工具的平台和接口服务的滥用情况。

可以看到，事件的影响不只是一时的通知骚扰，牵扯出的是一整套从开发者到运营商再到终端厂商都要对接的安全问题。技术上有临时手段可用，法律上有打击方向，但操作起来既费时又费力。现在的画面是：工程师还在连夜翻接口白名单、产品在画流程图、客服在应对用户来电，而那堆已经到手机里的验证码，依旧在那里。