中国联通客户端被曝Bug:无密码随便登陆

简介:

1月21日消息 运营商相关的产品漏洞已经数见不鲜了,此前我们还报道过三大运营商流量计费系统的漏洞,不过那个比较隐蔽,而今天乌云漏洞平台曝光的有关中国联通部分客户端的Bug就比较低级了,一旦被黑客发现,会轻易对用户会造成严重损失。

根据漏洞发现者恶人毛透露,中国联通的沃流量、沃邮箱等Android客户端可能被用户免密码登陆,主要原因出在客户端本身的一键登录功能。无需输入密码,可以看出原理是利用验证手机SIM卡是否有效的方式实现的,于是该作者突发奇想,如果改变SIM卡手机号会怎么样?

中国联通部分客户端被曝低级Bug:无密码随便登陆

  中国联通部分客户端被曝低级Bug:无密码随便登陆

于是该发现者利用xposed+改号软件,将SIM卡手机号码改成任意号码,修改后同样能通过验证,比较简单。像18577777777,18566666666这样的号码都能登陆。并且注册账号时候必须注册的邮箱也能成功同步过来,包含历史邮件,这样,就会对其他用户造成不可估量的损失了。而且经验证,完全可以通过抓包抓取到邮箱的POP3密码。

中国联通部分客户端被曝低级Bug:无密码随便登陆

  中国联通部分客户端被曝低级Bug:无密码随便登陆

可以看出整个过程唯一的技术手段就是更改SIM卡手机号,而这通过软件手段也可以简单实现,显然联通方面对客户端的意见登陆功能并没有做足够的安全验证措施,属于明显的低级Bug。


本文转自d1net(转载)

相关文章
|
安全 网络安全
QQ上不了,下载慢,先不要慌,先看看是不是华为防火墙上做了手脚
QQ上不了,下载慢,先不要慌,先看看是不是华为防火墙上做了手脚
155 0
|
5月前
|
前端开发 JavaScript 程序员
老程序员分享:phpwind之关闭账号通
老程序员分享:phpwind之关闭账号通
32 0
|
运维 安全 Linux
6步教你封杀恶意登录服务器的ip
6步教你封杀恶意登录服务器的ip
842 0
6步教你封杀恶意登录服务器的ip
|
网络协议 安全 网络安全
使用SSH登录防火墙,显示登陆超时,登陆界面死活没反应!怎么破?
使用SSH登录防火墙,显示登陆超时,登陆界面死活没反应!怎么破?
322 0
|
安全 数据安全/隐私保护
护卫神主机大师或者是主机管理系统中创建网站时提示开设失败的解决办法
阿里云默认的系统一般会开启密码复杂度的功能,这样在使用护卫神主机大师或者是主机管理系统开设网站时,填写的密码如不符合系统的复杂度要求。
4332 0
|
安全 数据库 数据安全/隐私保护
信息周刊:随意设置电脑密码存在安全隐患
据美国出版的最新一期《信息周刊》披露,不少电脑用户在设置电脑密码时太过随意,这给电脑黑客窃取个人信息提供了便利。 据报道,最近美国一家名为phpbb.com的电脑程序网站的数据库被黑客入侵,2万名用户的密码被窃。
899 0
|
测试技术 数据库 数据安全/隐私保护