关于微信小程序隐私泄露问题

2023-01-03 12:03:48.0

 今天呢，办公室同事给我说出现了一个问题，她能通过小程序看到我的京东快递信息，当时就发现这可能哪出现了问题，于是乎我就联想到之前给同事授权了一个供应商的小程序，排查了一下，不仅仅是这样一个小程序，是只要能添加微信手机号登录的小程序，可能都存在这个问题，然后你就可以通过手机号查看例如京东的订单信息等等。

具体问题出现在哪里呢？
举例子，我们用顺丰点击微信账号快捷登录，会让你选择手机号，这时候还有一个选项“使用其他手机号码”，这时候就需要B手机号，验证码，注意在这个时候勾选☑️“保存此号码供以后授权使用”，问题也就出在这。

这时候正常我们就能用B手机号查询顺丰，到此结束了么？当然不，点开京东小程序，选择微信账户快捷登录，你会看到B手机号也可以登录了，也就是你可以用B手机号登录其他所有用手机号登录的小程序。

正常来说，如果给一个人授权一个小程序，即使用户打开这个保存此号码供以后授权使用，也应当对应的是这个小程序而不是所有小程序，这里存在了漏洞，并且你也不知道谁绑定了这个，你压根找不到入口。

有人问，这隐私安全问题很大么？微信小程序那么多，能看信息、行程，订单等等，甚至有些金融小程序呢？如果还有免密支付什么的呢？会不会存在不少的隐患？

我今天给腾讯打电话，压根转不到人工，也可能是我能力不太行，其次就是这个是否授权，授权给了多少人，你也无从查询，也可能是我没找到。

我个人觉得这个“保存此号码供以后授权使用”，不应该是将手机号授权给这个微信账户，而最多也就是这个小程序，并且也应该让用户可以查询。

如果你之前有过授权，那么检查一下，需要对应手机管理手机号删除手机号，这样所有的小程序都登录不了了。