admin 最近,乌云漏洞报告平台负责人轻微暴露了中国联报客户端的漏洞,声称“白帽利用变更软件将本号更改为勋号”,“最终利用中国联报客户端的“点击登录”功能成功登录勋号”。可能会影响信息安全,如邮件和密码。
中国联通沃邮箱等部分Android客户端免密码登陆”。其实一款软件出现漏洞并不稀奇,但本次中国联通客户端爆出的问题就有点太低级也太致命了,不由得让人有点哭笑不得。
据漏洞发现者 @恶人毛 表示,他偶然间发现Android的沃客户端有个不需要输入密码的一键登录按钮,而该按钮验证的仅是手机中的SIM卡号是否为有效SIM卡号而不是验证的是否本人。用xposed+改号软件改号后就能通过验证并登录其他手机号客户端,包括实验用、都能登陆,并且能够同步邮箱中的新邮件及历史邮件且可以通过抓包抓取到邮箱的POP3密码。
以下是他的实验过程:
图1:更改手机号后登陆客户端;
图2:登陆沃邮箱;
图3:邮箱中的邮件,包括测试者的测试邮件和历史邮件;
图4:的账号属性;
图5:同样可行;
图6:测试者原手机信息。
事实证明整个登录过程只需简单的修改手机号码即可实现,无需更改ICCID SIM序列号、IMSI SIM订阅号,证明联通客户端的这个“一键登录”功能根本没有足够安全的验证措施,甚至可以说是根本没有一套完备的验证体系。
而不论手机号还是邮箱,都是许多账户注册时的必要条件,而此举造成的后果就是使用了该邮箱的用户都存在信息、隐私被盗的风险。
目前该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理,并且也已将相关信息通知了中国联通方面,不过联通方面目前还没有就此事作出回应。■