【IT商業(yè)新聞網(wǎng)訊】(記者 管維)昨日,有黑客爆料稱中國聯(lián)通客服系統(tǒng)存有巨大漏洞。一般情況下聯(lián)通10010號(hào)碼只發(fā)一些套餐使用情況和充值成功與否的提示短信,但昨日有網(wǎng)友利用該漏洞自行發(fā)布來源為“10010”的短信并進(jìn)行了展示。此消息引發(fā)數(shù)家安全軟件廠商發(fā)出“安全預(yù)警”,提示消費(fèi)者警惕冒充聯(lián)通客服的欺詐短信。
據(jù)《每日經(jīng)濟(jì)新聞》報(bào)道,一位不愿意透露姓名的黑客表示,一個(gè)名為“烏云”的安全網(wǎng)站于2月14日就提交了此漏洞。記者隨后進(jìn)入該網(wǎng)站,查找到了相關(guān)頁面。
據(jù)了解,此漏洞的發(fā)現(xiàn)者為“zazaz”,中國聯(lián)通該漏洞涉及其客服系統(tǒng),即“中國聯(lián)通可以用10010(中國聯(lián)通客服號(hào)碼)給任意聯(lián)通號(hào)發(fā)自定義短信”,危害等級(jí)為“高”。
按照黑客提供的網(wǎng)址,可以打開一個(gè)帶有數(shù)個(gè)輸入框的頁面。依次輸入驗(yàn)證碼、接收短信的聯(lián)通手機(jī)號(hào)碼、短信內(nèi)容,并點(diǎn)擊“提交查詢內(nèi)容”。提交后僅僅幾秒鐘,剛才填寫的聯(lián)通號(hào)碼手機(jī)就能收到“10010”發(fā)來的短信。更為嚴(yán)重的是,任何人均能利用該漏洞向任何聯(lián)通用戶發(fā)送任何文字內(nèi)容的短信,而且顯示來源號(hào)碼為“10010”。
“其實(shí)也就是聯(lián)通的驗(yàn)證碼機(jī)制問題。”上述不愿具名的黑客對(duì)記者表示,這個(gè)漏洞的利用門檻非常低,在“烏云”網(wǎng)站正式對(duì)外公布該漏洞后,隨著消息的傳播,“被部分用戶用來娛樂”。
業(yè)內(nèi)人士均認(rèn)為,該漏洞背后存在的風(fēng)險(xiǎn)不可小視。“烏云”網(wǎng)站對(duì)此就給出警示“任何人都可以用官方10010給聯(lián)通手機(jī)號(hào)發(fā)送短信,被用來短信詐騙,危害很大。”上述黑客還表示,如果在短信后面附上危險(xiǎn)鏈接,用戶一旦點(diǎn)擊,鏈接就可以下載木馬,綁定SP業(yè)務(wù)定制,甚至結(jié)合WAP漏洞獲取用戶手機(jī)瀏覽器里的SID(安全標(biāo)識(shí)符,是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一的號(hào)碼)。
中國聯(lián)通負(fù)責(zé)媒體聯(lián)絡(luò)的相關(guān)人士表示,已經(jīng)關(guān)注到了此消息,相關(guān)技術(shù)部門已經(jīng)對(duì)此漏洞進(jìn)行了修補(bǔ),并在進(jìn)一步調(diào)查。 上一頁1 2 下一頁
推薦閱讀
定制手機(jī)問題層出不窮 廠家運(yùn)營商技術(shù)不過關(guān)
目前國內(nèi)通訊運(yùn)營商定制手機(jī)基本處于兩極分化,要么是昂貴無比的國際名牌,要么是難以使用的非市場化國產(chǎn)手機(jī)。業(yè)內(nèi)專家呼吁,國內(nèi)運(yùn)營商在選擇引入定制機(jī)時(shí)應(yīng)少加入官方意見,盡可能定制被市場檢驗(yàn)成功的國產(chǎn)手機(jī),>>>詳細(xì)閱讀
本文標(biāo)題:聯(lián)通客服系統(tǒng)存巨大漏洞 10010易變詐騙短信
地址:http://www.oumuer.cn/a/01/20121229/101955.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示