软件出现漏洞很正常，但是过于低级的漏洞就让人无语了。近日，乌云漏洞报告平台公布了中国联通部分客户端存在的一个漏洞，竟然可以免密码登陆！

据发现者@恶人毛 透露，联通的沃流量、沃邮箱等Android客户端有个一键登录功能，无需输入密码，原理显然验证手机的SIM卡号是否有效，于是他突发奇想，如果改号会怎么样？

改号软件很多，这里用的是Xposed+，结果不出所料，更改成任意手机号都可以直接免密码登录，包括18577777777、18566666666这样的超级靓号，而且还能同步收到邮箱里的邮件，包括历史邮件。

而且，整个过程中只需要简单地更改手机号，无需更改ICCID SIM序列号、IMSI SIM订阅号，可见联通的这个一键登录功能根本没有任何多余的验证措施，这是一次典型的信任链崩溃案例。

另外，邮箱是大家注册账户时的必备条件，而现在邮箱都可以随意进出了，什么窃取隐私、找回密码都是小菜一碟，而且经验证，完全可以通过抓包抓取到邮箱的POP3密码。

乌云平台无可奈何地评论称：“看了这么多漏洞，感觉运营商邮箱安全真的是快无药可救了。”

该漏洞已经得到国家信息安全漏洞共享平台(CNVD)的确认，并交由相关部门处理。

随便改个号就可以免密码登陆沃邮箱

18577777777靓号也跑不了

18577777777同学的历史邮件一览无余，包括发现者的测试邮件

账号属性

18566666666号码的也上去了

这是发现者自己原来的号码