2024年11月28日 星期四

科技 > 通信 > 正文

字號:  

魅族曝重大漏洞或泄用戶資訊 雲設計缺陷是主因

  • 發佈時間:2014-11-17 08:28:12  來源:中國網財經  作者:甄鼎丞  責任編輯:書海

  中國網科技11月17日訊(記者 甄鼎丞) 近日,魅族論壇中一則聲稱“大家好,我的賬號被盜了”的發帖引起轟動,發佈該帖的ID為“J.Wong”,而論壇中眾所週知的是,此ID的所有者,正是魅族CEO黃章。

  其後不久,一位網名為“GLZJIN”的網路安全人士便在自己的部落格中發佈資訊,截圖證明其已“登陸”魅族CEO黃章賬號,並聲稱其發現魅族存在重大漏洞——“魅族的賬號系統存在缺陷,可導致任意賬戶密碼被非法重置”。

  中國網科技記者走訪魅族公司時,對方對此漏洞並未予以否認,只是向記者表示稱“沒有發現用戶數據洩露的問題”,但並未提供相應證據。

  魅族曝安全漏洞 黃章賬號被盜

  無獨有偶,在魅族論壇“盜號事件”發生幾近同時,國內知名網路安全網站烏雲網也發佈公開資訊稱“魅族的賬號系統記憶體在漏洞可導致任意賬戶的密碼重置”,且將其危害等級設定為高。對此漏洞,其發現者在發佈的公開資訊中簡要描述為:魅族的密碼找回系統存在缺陷,駭客可繞過驗證碼從而重置任意賬號密碼,進而導致隱私洩露等不良後果。

  “只要知道魅族用戶的用戶名或手機號,就可以獲取用戶名和密碼。”烏雲網相關負責人向中國網科技記者解釋,並簡單解釋了漏洞原因”此漏洞繞過了魅族找回密碼的邏輯。”

  眾所週知,魅族論壇與魅族手機使用的都是同一套賬號密碼——Flyme賬號。魅族系列手機中的通訊錄、短信、用戶記錄及郵件都是通過雲伺服器存儲,而Flyme賬號則是讀取雲端數據的唯一憑證。一旦Flyme賬戶被控制,駭客即可輕鬆獲取用戶通訊錄、短信、郵件等敏感資訊。

  對於此次事件,魅族方面回應的態度相對謹慎,僅對中國網科技記者表示“目前的技術漏洞已經全部解決,未來會建立更完善的漏洞清查機制。”但當記者問及黃章賬號被盜和用戶資訊洩露的具體情況與相關細節問題時,相關負責人則表示“無可奉告”。

  原因或為設計缺陷

  對此問題,中國網科技記者專程採訪到了由“中國駭客教父”萬濤發起創建的IDF網路安全實驗室。

  “這個漏洞可以認為是設計缺陷,是服務端缺乏充分驗證造成的。此類問題多數屬於網站建設過程中的殘留問題。”同為IDF實驗室創始人之一的Archer向中國網科技記者表示。

  此漏洞的大致過程為:首先駭客訪問魅族“密碼找回”頁面時,通過抓包軟體可以獲取本次訪問的用於身份識別的令牌,然後便可利用此令牌偽造其他用戶請求,並篡改身份驗證的郵箱,從而達到修改密碼的目的。

  而針對漏洞中關鍵問題——偽造請求所用的令牌,Archer作出了形象的解釋“這種參數替換類似排號,而令牌就是序號。例如,甲在領取號碼後排隊領獎,但他把號碼丟了,結果別人拿著他的號把獎金取出來了。很明顯,這是發獎單位沒有再次核實領獎人身份造成的。”

  而針對漏洞可能造成的影響,IDF實驗室Archer表示“一般來説,洩露的資訊可能成為黑市販賣的對象。洩露真實人物的真實資訊可能會形成蝴蝶效應 ,成為其他社會工程學攻擊的導火索 ,洩露更多個人的資訊。”

  此前,烏雲網創始人方小頓也曾表示過對日益深入用戶生活的雲技術的擔憂,“雲技術是有風險的。以前出問題只影響一兩個用戶,使用雲技術之後可能影響上千萬的人。”

  但當記者問起是否有針對雲技術該方面相關問題隱患的改善或解決方案時,烏雲網方面和IDF實驗室方面均未予以明確回應。

  中國網科技記者將對此事保持進一步關注。

  • 股票名稱 最新價 漲跌幅