微信更改手机号码的 bug

登录验证机制非常严格，登录成功了就不再验证了。

因为你已经登陆了啊朋友。。。

一般人手机上微信这种 APP 默认肯定是登录状态。 所以呢，手机一定要设锁屏密码，不要随便把手机借给不信任的人用，否则他 /她把你的微信 /QQ/支付宝 /京东等 APP 都换了号码盗了你的号你都一点也不知道。

我觉得不算，首先是楼上几位说的登录机制的问题，还有要是你原来的手机号不能用了怎么办？

@zchzch1014 这个应该算是一个理由。
@BROWNURSIDAE 手机被盗，恰好锁屏被解开的情况下，不就 gg 了？

@mason961125 那就是你自己的问题了。。。刚好被盗不设置锁屏。。。

@BROWNURSIDAE 从 Android 转到 iOS 上一直是有锁屏密码和 TouchID 的。我说的是那种恰巧锁屏被破解的情况。

看到 1 、 2 楼解释要笑坏了。。。

如果属实（原手机就这样被解绑了），这的确是安全漏洞，求大神们理性分析一下

如果已经登陆了，换个人难道就拿不到验证码了吗？

楼主自己假装别人拿个新号码新手机来搞自己的账号，试试期间会遇到一些什么问题，别因为只是一步更换绑定手机号就觉得已经完了。

支付宝好像也是这样的

Apple ID 更改主邮箱(即登录帐号)也是一样，不需要给旧邮箱发送验证码。如果密码薄弱，没有开启两步验证，被盗号锁 ID 改帐号，然后购机发票没办法找到，你就再也没办法解锁手机了。 #身边活生生的例子

outlook 印象中更换 2FA 也是直接操作
twitter 好像也是

google 和 appleid 在重要操作时，即使在信任设备，也有再次问密码或安全问题的步骤

outlook/google 都会发送提醒 email 到安全邮箱，可取消操作，但我没试过

个人觉得需要做到登录状态和本人操作两个验证才算合格，后者比较难实现，所以再次输入密码只能算勉强合格
安全邮箱可以取消操作倒是一个比较好的做法，不仅安全方面，也可以避免本人误操作，也提供“后悔药”选择

lz 你有没有考虑需要原来手机验证也会带来问题的
如果你原来的手机已经停机了咋办

@liangguan5 万一你原手机不用并且被重新发号了呢？这并不可笑，不是安全漏洞

这个地方，不要验原手机，验一下登陆密码 朱军觉得如何呀？

不是 bug ，当初这个功能的设计就是这样，后来我接手后保持了这个逻辑。

@mason961125 手机被坏人物理接触，基本上除了支付，别的都 GG 了。但是有紧急锁定的方法，参考 https://weixin110.qq.com/security/readtemplate?t=security_center_website/tools

@DearTanker 是的，后续安全策略挺苛刻。

@zchzch1014 你说的对。

@BROWNURSIDAE 你说得对。

@justina25 不好，很多微信用户没密码，日常也接触不到密码，所以懵逼。