昨天(1月20日)亿智蘑菇刚出了一个2015年最烂密码排行榜,今天有消息称,乌云漏洞报告平台很公正的公布中国联通部分客户端存在的漏洞,说是可以不用密码登陆!什么鬼?这让设置密码的情何以堪?让*取盗**密码的人怎么看?
据发现这事件当事人透漏,联通用户的沃流量还有沃邮箱等安卓客户端有个一键登录功能,意思是就是无需输入密码,其中的奥妙就是显然验证手机的SIM卡号是否有效,此人估计也是无聊的可以,他想试试改号会怎么样?
目前改号的软件很多,在这里就不广而告之了,免得别人说我们抢百度的生意。等这个用户改了号码之后,最后让人惊讶的是,无论你更改成什么样的手机号码,你都可以直接免密码登录。当然还包括18577777777、18566666666这样的超级靓号,而且最让人觉得神奇的事情是,登录之后还可以同步收到邮箱里的邮件,还有你的历史邮件。说到这里很多小伙伴已经开始说了天了那啥!
其实在整个更改手机号码的过程都是非常简单的,不需要你更改ICCID SIM序列号还有IMSI SIM订阅号,由此可见,联通目前设置的一键登录功能根本没有任何多余的验证措施,这次事件是一次典型的信任链崩溃案例。
目前大家的邮箱都是各账户注册的必备门槛,当我们的邮箱都可以随意进出,那么其他资料要是想窃取隐私、找回密码都是简单容易操作的事情,通过相关经验证,完全可以通过抓包抓取到邮箱的POP3密码。
有图有真相随便改个号就可以免密码登陆沃邮箱
即使是18577777777这样的靓号也没办法避免
从图中可以看出18577777777童鞋的历史邮件一览无余,还有发现者的测试邮件,哎~
账号属性
试下18566666666这个号码,也是可以上去的
以上是发现者自己原来的号码
乌云平台对联通这次的漏洞表示很无奈,称:“经历这么多漏洞,感觉运营商邮箱安全真的是快无药可救了。”目前该漏洞已经得到国家信息安全漏洞共享平台(CNVD)的确认,并交由相关部门处理。关注亿智蘑菇微信公众号ROMzhushou,更多资讯等你带走。