中国联通客户端被曝Bug:无密码随便登陆

  作者:汐元

  IT之家讯 1月21日消息 运营商相关的产品漏洞已经数见不鲜了,此前我们还报道过三大运营商流量计费系统的漏洞,不过那个比较隐蔽,而今天乌云漏洞平台曝光的有关中国联通部分客户端的Bug就比较低级了,一旦被黑客发现,会轻易对用户会造成严重损失。

  根据漏洞发现者恶人毛透露,中国联通的沃流量、沃邮箱等Android客户端可能被用户免密码登陆,主要原因出在客户端本身的一键登录功能。无需输入密码,可以看出原理是利用验证手机SIM卡是否有效的方式实现的,于是该作者突发奇想,如果改变SIM卡手机号会怎么样?

中国联通部分客户端被曝低级Bug:无密码随便登陆

  于是该发现者利用xposed+改号软件,将SIM卡手机号码改成任意号码,修改后同样能通过验证,比较简单。像18577777777,18566666666这样的号码都能登陆。并且注册账号时候必须注册的邮箱也能成功同步过来,包含历史邮件,这样,就会对其他用户造成不可估量的损失了。而且经验证,完全可以通过抓包抓取到邮箱的POP3密码。

中国联通部分客户端被曝低级Bug:无密码随便登陆

  可以看出整个过程唯一的技术手段就是更改SIM卡手机号,而这通过软件手段也可以简单实现,显然联通方面对客户端的意见登陆功能并没有做足够的安全验证措施,属于明显的低级Bug。


扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子