联通客服电话爆重大漏洞2亿用户受影响.pdf

(速途体验室第 47 期) 联通是中国第二大移动运营商，目前中国联通的手机用户接近 2 亿人， 如果联通的客服电话 10010 出现漏洞将会产生怎样的后果?我们不难想象，如果漏洞不能及 时修补的话，这 2 亿用户都将受到潜在安全威胁。这不，近日一位不愿意透露姓名的黑客 向速途网透露了一个联通客服电话的巨大漏洞，而这个漏洞的利用门槛非常低，且会造成非 常巨大的影响。那到底是何种漏洞能给 2 亿用户带来威胁，请看本期速途体验室给大家带 来的“漏洞体验” 。 体验要点：1)漏洞的模拟“利用” 2)漏洞的代码之源 　　2 月 20 日下午，笔者的手机忽然收到一条来自联通客服10010 的短信。如下图所示： 　　按理说，一般情况下联通 10010 电话只发一些套餐使用情况和充值成功与否的提示短 信等，而这次反常的发了一个“道长，知道我是谁吗?”，显然，联通的客服电话被人利用了。 　　随后，笔者 qq 头像闪动，黑客小元(化名)向笔者透露联通客服电话系统出现重大漏洞， 任何人均能利用该漏洞向任何联通用户发送任何文字内容的短信，而且显示来源号码为 “10010” 。刚才那条短信正是黑客小元对笔者的一次测试。 　　黑客小元同时向笔者透露该漏洞最早在 2 月 14 日出现，但联通方面一直没有修复。小 元给笔者发了一个该漏洞的测试网址，如下图所示： 　　在浏览器打开这个网址，出现简单的几个输入框，按照提示，笔者依次输入验证码、接 收短信的手机号码(注：此处必须填写联通手机号码)、短信内容，然而点击提交查询内容。 提交后，弹出一个保存文件的窗口，笔者将这个文件名为 vild.do 的文件保存在桌面。用文 本工具打开该文件后，显示为：yes(注：发送成功)，如下图所示： 　　仅仅过了几秒钟后，拿来测试的一部 iPhone 4s 收到了笔者的测试短信。如下图所示： 　　当笔者询问该漏洞来源详情的，黑客小元拒绝透露来源消息。但仍然向笔者发送了该漏 洞的脚本代码，如下图所示： 　　虽然笔者不太懂代码，但通过上图我们得知此次联通客服系统的漏洞相对来说比较“弱 智”，容易被普通的黑客加以利用。 　　总结：一个出现了近一周的漏洞都没有被联通补上，不能不说这是一种巨大的失职。而 此项漏洞如果被不不法分子利用加以诈骗的话，后果将会怎样?(丁道师)