2月21日有黑客爆料稱中國聯(lián)通客服系統(tǒng)存有巨大漏洞�。一般情況下聯(lián)通10010號碼只發(fā)一些套餐使用情況和充值成功與否的提示短信����,但昨日有網(wǎng)友利用該漏洞自行發(fā)布來源為“10010”的短信并進行了展示����。此消息引發(fā)數(shù)家安全軟件廠商發(fā)出“安全預警”�����,提示消費者警惕冒充聯(lián)通客服的欺詐短信���。
可隨意發(fā)送“10010”來源短信
《每日經(jīng)濟新聞(微博)》記者昨日聯(lián)系上了一位不愿意透露姓名的黑客���,對方表示�,一個名為“烏云”的安全網(wǎng)站于2月14日就提交了此漏洞��。記者隨后進入該網(wǎng)站��,查找到了相關頁面�����。
據(jù)了解��,此漏洞的發(fā)現(xiàn)者為“zazaz”�,中國聯(lián)通該漏洞涉及其客服系統(tǒng),即“中國聯(lián)通可以用10010(中國聯(lián)通客服號碼)給任意聯(lián)通號發(fā)自定義短信”��,危害等級為“高”�。
按照黑客提供的網(wǎng)址,可以打開一個帶有數(shù)個輸入框的頁面�����。依次輸入驗證碼���、接收短信的聯(lián)通手機號碼、短信內(nèi)容,并點擊“提交查詢內(nèi)容”�。提交后僅僅幾秒鐘,剛才填寫的聯(lián)通號碼手機就能收到“10010”發(fā)來的短信����。更為嚴重的是,任何人均能利用該漏洞向任何聯(lián)通用戶發(fā)送任何文字內(nèi)容的短信�,而且顯示來源號碼為“10010”。
“其實也就是聯(lián)通的驗證碼機制問題��?���!鄙鲜霾辉妇呙暮诳蛯τ浾弑硎荆@個漏洞的利用門檻非常低�����,在“烏云”網(wǎng)站正式對外公布該漏洞后���,隨著消息的傳播�,“被部分用戶用來娛樂”�����。
或被詐騙、木馬利用
業(yè)內(nèi)人士均認為�����,該漏洞背后存在的風險不可小視��?���!盀踉啤本W(wǎng)站對此就給出警示“任何人都可以用官方10010給聯(lián)通手機號發(fā)送短信,被用來短信詐騙��,危害很大���?���!鄙鲜龊诳瓦€表示����,如果在短信后面附上危險鏈接,用戶一旦點擊����,鏈接就可以下載木馬�����,綁定SP業(yè)務定制,甚至結(jié)合WAP漏洞獲取用戶手機瀏覽器里的SID(安全標識符�,是標識用戶、組和計算機賬戶的唯一的號碼)����。
《每日經(jīng)濟新聞》記者昨日晚間致電中國聯(lián)通負責媒體聯(lián)絡的相關人士,對方表示已經(jīng)關注到了此消息��,相關技術部門已經(jīng)對此漏洞進行了修補����,并在進一步調(diào)查。
不過��,根據(jù)“烏云”上的記錄顯示����,早在2月14日,漏洞“細節(jié)已通知廠商并且等待廠商處理中”��,但聯(lián)通方面一直沒有修復�����。該網(wǎng)站還顯示,直到2月19日�,“廠商已經(jīng)主動忽略漏洞,細節(jié)向公眾公開”�����。直到昨日修復完畢��,時間已經(jīng)過去了一個星期��。
中國聯(lián)通處理問題的速度由此遭到業(yè)內(nèi)人士的質(zhì)疑�。據(jù)中國聯(lián)通最新發(fā)布的2012年1月份主要運營數(shù)據(jù),其3G用戶已增至4306.9萬戶,2G用戶接近1.6億戶�����。如此巨大的用戶基數(shù)也加大了漏洞的風險���。
“為什么一個傻瓜漏洞����,聯(lián)通自己沒發(fā)現(xiàn)���?如果被不法分子利用加以詐騙的話��,后果將會怎樣�����?”互聯(lián)網(wǎng)資深觀察家丁道師認為�����。記者試圖了解漏洞帶來的損失�����,上述中國聯(lián)通相關人士表示技術部門目前并未就此進行反饋�。
