智商感人 聯通客戶端密碼就是純擺設

　　近日，烏云漏洞報告平臺官微曝光了中國聯通沃客戶端的一個漏洞，并聲稱：“有白帽子利用改號軟件將本機號碼改為靚號，結果竟然利用中國聯通沃客戶端中的“一鍵登錄”功能成功的登錄了靚號!可影響其郵件以及密碼等信息安全。中國聯通沃郵箱等部分Android客戶端免密碼登陸”。

　　其實一款軟件出現漏洞并不稀奇，但本次中國聯通客戶端爆出的問題就有點太低級也太致命了，不由得讓人有點哭笑不得。

　　據漏洞發現者 @惡人毛 表示，他偶然間發現Android的沃客戶端有個不需要輸入密碼的一鍵登錄按鈕，而該按鈕驗證的僅是手機中的SIM卡號是否為有效SIM卡號而不是驗證的是否本人。用xposed+改號軟件改號后就能通過驗證并登錄其他手機號客戶端，包括實驗用18577777777、18566666666都能登陸，并且能夠同步郵箱中的新郵件及歷史郵件且可以通過抓包抓取到郵箱的POP3密碼。

　　以下是他的實驗過程：

　　圖1：更改手機號后登陸客戶端；

　　圖2：登陸沃郵箱；

　　圖3：18577777777郵箱中的郵件，包括測試者的測試郵件和歷史郵件；

　　圖4：18577777777的賬號屬性；

　　圖5：18566666666同樣可行；

　　圖6：測試者原手機信息。

　　事實證明整個登錄過程只需簡單的修改手機號碼即可實現，無需更改ICCID SIM序列號、IMSI SIM訂閱號，證明聯通客戶端的這個“一鍵登錄”功能根本沒有足夠安全的驗證措施，甚至可以說是根本沒有一套完備的驗證體系。

　　而不論手機號還是郵箱，都是許多賬戶注冊時的必要條件，而此舉造成的后果就是使用了該郵箱的用戶都存在信息、隱私被盜的風險。

　　目前該漏洞已交由第三方合作機構(cncert國家互聯網應急中心)處理，并且也已將相關信息通知了中國聯通方面，不過聯通方面目前還沒有就此事作出回應。■