聯(lián)通客服電話爆重大漏洞 2億用戶或受影響

聯(lián)通是中國第二大移動運營商，目前中國聯(lián)通的手機用戶接近2億人，如果聯(lián)通的客服電話10010出現(xiàn)漏洞將會產(chǎn)生怎樣的后果?我們不難想象，如果漏洞不能及時修補的話，這2億用戶都將受到潛在安全威脅。這不，近日一位不愿意透露姓名的黑客向速途網(wǎng)透露了一個聯(lián)通客服電話的巨大漏洞，而這個漏洞的利用門檻非常低，且會造成非常巨大的影響。那到底是何種漏洞能給2億用戶帶來威脅，請看本期速途體驗室給大家?guī)�來�?ldquo;漏洞體驗”。

體驗要點：1)漏洞的模擬“利用” 2)漏洞的代碼之源

2月20日下午，筆者的手機忽然收到一條來自聯(lián)通客服10010的短信。如下圖所示：

按理說，一般情況下聯(lián)通10010電話只發(fā)一些套餐使用情況和充值成功與否的提示短信等，而這次反常的發(fā)了一個“道長，知道我是誰嗎?”，顯然，聯(lián)通的客服電話被人利用了。

隨后，筆者qq頭像閃動，黑客小元(化名)向筆者透露聯(lián)通客服電話系統(tǒng)出現(xiàn)重大漏洞，任何人均能利用該漏洞向任何聯(lián)通用戶發(fā)送任何文字內(nèi)容的短信，而且顯示來源號碼為“10010”。剛才那條短信正是黑客小元對筆者的一次測試。

黑客小元同時向筆者透露該漏洞最早在2月14日出現(xiàn)，但聯(lián)通方面一直沒有修復(fù)。小元給筆者發(fā)了一個該漏洞的測試網(wǎng)址，如下圖所示：

在瀏覽器打開這個網(wǎng)址，出現(xiàn)簡單的幾個輸入框，按照提示，筆者依次輸入驗證碼、接收短信的手機號碼(注：此處必須填寫聯(lián)通手機號碼)、短信內(nèi)容，然而點擊提交查詢內(nèi)容。提交后，彈出一個保存文件的窗口，筆者將這個文件名為vild.do的文件保存在桌面。用文本工具打開該文件后，顯示為：yes(注：發(fā)送成功)，如下圖所示：

僅僅過了幾秒鐘后，拿來測試的一部iPhone 4s收到了筆者的測試短信。如下圖所示：

當(dāng)筆者詢問該漏洞來源詳情的，黑客小元拒絕透露來源消息。但仍然向筆者發(fā)送了該漏洞的腳本代碼，如下圖所示：

雖然筆者不太懂代碼，但通過上圖我們得知此次聯(lián)通客服系統(tǒng)的漏洞相對來說比較“弱智”，容易被普通的黑客加以利用。

總結(jié)：一個出現(xiàn)了近一周的漏洞都沒有被聯(lián)通補上，不能不說這是一種巨大的失職。而此項漏洞如果被不不法分子利用加以詐騙的話，后果將會怎樣？