软件出现漏洞很正常,但是过于低级的漏洞就让人无语了。近日,乌云漏洞报告平台公布了中国联通部分客户端存在的一个漏洞,竟然可以免密码登陆!
据发现者@恶人毛 透露,联通的沃流量、沃邮箱等Android客户端有个一键登录功能,无需输入密码,原理显然验证手机的SIM卡号是否有效,于是他突发奇想,如果改号会怎么样?
改号软件很多,这里用的是Xposed+,结果不出所料,更改成任意手机号都可以直接免密码登录,包括18577777777、18566666666这样的超级靓号,而且还能同步收到邮箱里的邮件,包括历史邮件。
而且,整个过程中只需要简单地更改手机号,无需更改ICCID SIM序列号、IMSI SIM订阅号,可见联通的这个一键登录功能根本没有任何多余的验证措施,这是一次典型的信任链崩溃案例。
另外,邮箱是大家注册账户时的必备条件,而现在邮箱都可以随意进出了,什么窃取隐私、找回密码都是小菜一碟,而且经验证,完全可以通过抓包抓取到邮箱的POP3密码。
乌云平台无可奈何地评论称:“看了这么多漏洞,感觉运营商邮箱安全真的是快无药可救了。”
该漏洞已经得到国家信息安全漏洞共享平台(CNVD)的确认,并交由相关部门处理。
18577777777同学的历史邮件一览无余,包括发现者的测试邮件