中國聯通客戶端被曝Bug:無密碼隨便登陸
- 發佈時間:2016-01-22 07:44:35 來源:光明網 責任編輯:湯婧
運營商相關的産品漏洞已經數見不鮮了,此前我們還報道過三大運營商流量計費系統的漏洞,不過那個比較隱蔽,而今天烏雲漏洞平臺曝光的有關中國聯通部分客戶端的Bug就比較低級了,一旦被駭客發現,會輕易對用戶會造成嚴重損失。
根據漏洞發現者惡人毛透露,中國聯通的沃流量、沃郵箱等Android客戶端可能被用戶免密碼登陸,主要原因出在客戶端本身的一鍵登錄功能。無需輸入密碼,可以看出原理是利用驗證手機SIM卡是否有效的方式實現的,於是該作者突發奇想,如果改變SIM卡手機號會怎麼樣?
中國聯通部分客戶端被曝低級Bug:無密碼隨便登陸
於是該發現者利用xposed+改號軟體,將SIM卡手機號碼改成任意號碼,修改後同樣能通過驗證,比較簡單。像18577777777,18566666666這樣的號碼都能登陸。並且註冊賬號時候必須註冊的郵箱也能成功同步過來,包含歷史郵件,這樣,就會對其他用戶造成不可估量的損失了。而且經驗證,完全可以通過抓包抓取到郵箱的POP3密碼。
中國聯通部分客戶端被曝低級Bug:無密碼隨便登陸
可以看出整個過程唯一的技術手段就是更改SIM卡手機號,而這通過軟體手段也可以簡單實現,顯然聯通方面對客戶端的意見登陸功能並沒有做足夠的安全驗證措施,屬於明顯的低級Bug。
- 股票名稱 最新價 漲跌幅
