近日,烏雲漏洞報告平台官微曝光了中國聯通沃客戶端的一個漏洞,并聲稱:“有白帽子利用改号軟件将本機号碼改為靓号,結果竟然利用中國聯通沃客戶端中的“一鍵登錄”功能成功的登錄了靓号!可影響其郵件以及密碼等信息安全。中國聯通沃郵箱等部分Android客戶端免密碼登陸”。
其實一款軟件出現漏洞并不稀奇,但本次中國聯通客戶端爆出的問題就有點太低級也太緻命了,不由得讓人有點哭笑不得。
據漏洞發現者 @惡人毛 表示,他偶然間發現Android的沃客戶端有個不需要輸入密碼的一鍵登錄按鈕,而該按鈕驗證的僅是手機中的SIM卡号是否為有效SIM卡号而不是驗證的是否本人。用xposed 改号軟件改号後就能通過驗證并登錄其他手機号客戶端,包括實驗用18577777777、18566666666都能登陸,并且能夠同步郵箱中的新郵件及曆史郵件且可以通過抓包抓取到郵箱的POP3密碼。
以下是他的實驗過程:
圖1:更改手機号後登陸客戶端;
圖2:登陸沃郵箱;
圖3:18577777777郵箱中的郵件,包括測試者的測試郵件和曆史郵件;
圖4:18577777777的賬号屬性;
圖5:18566666666同樣可行;
圖6:測試者原手機信息。
事實證明整個登錄過程隻需簡單的修改手機号碼即可實現,無需更改ICCID SIM序列号、IMSI SIM訂閱号,證明聯通客戶端的這個“一鍵登錄”功能根本沒有足夠安全的驗證措施,甚至可以說是根本沒有一套完備的驗證體系。
而不論手機号還是郵箱,都是許多賬戶注冊時的必要條件,而此舉造成的後果就是使用了該郵箱的用戶都存在信息、隐私被盜的風險。
目前該漏洞已交由第三方合作機構(cncert國家互聯網應急中心)處理,并且也已将相關信息通知了中國聯通方面,不過聯通方面目前還沒有就此事作出回應。■
,
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
