近日,乌云漏洞报告平台官微曝光了中国联通沃客户端的一个漏洞,并声称:“有白帽子利用改号软件将本机号码改为靓号,结果竟然利用中国联通沃客户端中的“一键登录”功能成功的登录了靓号!可影响其邮件以及密码等信息安全。中国联通沃邮箱等部分Android客户端免密码登陆”。
其实一款软件出现漏洞并不稀奇,但本次中国联通客户端爆出的问题就有点太低级也太致命了,不由得让人有点哭笑不得。
据漏洞发现者 @恶人毛 表示,他偶然间发现Android的沃客户端有个不需要输入密码的一键登录按钮,而该按钮验证的仅是手机中的SIM卡号是否为有效SIM卡号而不是验证的是否本人。用xposed 改号软件改号后就能通过验证并登录其他手机号客户端,包括实验用18577777777、18566666666都能登陆,并且能够同步邮箱中的新邮件及历史邮件且可以通过抓包抓取到邮箱的POP3密码。
以下是他的实验过程:
图1:更改手机号后登陆客户端;
图2:登陆沃邮箱;
图3:18577777777邮箱中的邮件,包括测试者的测试邮件和历史邮件;
图4:18577777777的账号属性;
图5:18566666666同样可行;
图6:测试者原手机信息。
事实证明整个登录过程只需简单的修改手机号码即可实现,无需更改ICCID SIM序列号、IMSI SIM订阅号,证明联通客户端的这个“一键登录”功能根本没有足够安全的验证措施,甚至可以说是根本没有一套完备的验证体系。
而不论手机号还是邮箱,都是许多账户注册时的必要条件,而此举造成的后果就是使用了该邮箱的用户都存在信息、隐私被盗的风险。
目前该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理,并且也已将相关信息通知了中国联通方面,不过联通方面目前还没有就此事作出回应。■
,
