• 快科技
  • 中文科技资讯专业发布平台
弱的无药可救!联通客户端没密码随便登陆
2016-01-21 17:39:55  出处:快科技 作者:上方文Q 编辑:上方文Q   点击可以复制本篇文章的标题和链接

软件出现漏洞很正常,但是过于低级的漏洞就让人无语了。近日,乌云漏洞报告平台公布了中国联通部分客户端存在的一个漏洞,竟然可以免密码登陆!

据发现者@恶人毛 透露,联通的沃流量、沃邮箱等Android客户端有个一键登录功能,无需输入密码,原理显然验证手机的SIM卡号是否有效,于是他突发奇想,如果改号会怎么样?

改号软件很多,这里用的是Xposed+,结果不出所料,更改成任意手机号都可以直接免密码登录,包括18577777777、18566666666这样的超级靓号,而且还能同步收到邮箱里的邮件,包括历史邮件。

而且,整个过程中只需要简单地更改手机号,无需更改ICCID SIM序列号、IMSI SIM订阅号,可见联通的这个一键登录功能根本没有任何多余的验证措施,这是一次典型的信任链崩溃案例。

另外,邮箱是大家注册账户时的必备条件,而现在邮箱都可以随意进出了,什么窃取隐私、找回密码都是小菜一碟,而且经验证,完全可以通过抓包抓取到邮箱的POP3密码。

弱的无药可救!联通客户端没密码随便登陆

乌云平台无可奈何地评论称:“看了这么多漏洞,感觉运营商邮箱安全真的是快无药可救了。”

该漏洞已经得到国家信息安全漏洞共享平台(CNVD)的确认,并交由相关部门处理。

弱的无药可救!联通客户端没密码随便登陆
随便改个号就可以免密码登陆沃邮箱

弱的无药可救!联通客户端没密码随便登陆
18577777777靓号也跑不了

弱的无药可救!联通客户端没密码随便登陆
18577777777同学的历史邮件一览无余,包括发现者的测试邮件

弱的无药可救!联通客户端没密码随便登陆
账号属性

弱的无药可救!联通客户端没密码随便登陆
18566666666号码的也上去了

弱的无药可救!联通客户端没密码随便登陆
这是发现者自己原来的号码

弱的无药可救!联通客户端没密码随便登陆

文章价值打分
当前文章打分0 分,共有0人打分
文章观点支持

+0
+0

快科技客户端

扫描安装快科技APP

驱动之家微信公众号

扫描关注驱动之家