联通是中国第二大移动运营商,目前中国联通的手机用户接近2亿人,如果联通的客服电话10010出现漏洞将会产生怎样的后果?我们不难想象,如果漏洞不能及时修补的话,这2亿用户都将受到潜在安全威胁。这不,近日一位不愿意透露姓名的黑客向速途网透露了一个联通客服电话的巨大漏洞,而这个漏洞的利用门槛非常低,且会造成非常巨大的影响。那到底是何种漏洞能给2亿用户带来威胁,请看本期速途体验室给大家带来的“漏洞体验”。
体验要点:1)漏洞的模拟“利用” 2)漏洞的代码之源
2月20日下午,笔者的手机忽然收到一条来自联通客服10010的短信。如下图所示:
按理说,一般情况下联通10010电话只发一些套餐使用情况和充值成功与否的提示短信等,而这次反常的发了一个“道长,知道我是谁吗?”,显然,联通的客服电话被人利用了。
随后,笔者qq头像闪动,黑客小元(化名)向笔者透露联通客服电话系统出现重大漏洞,任何人均能利用该漏洞向任何联通用户发送任何文字内容的短信,而且显示来源号码为“10010”。刚才那条短信正是黑客小元对笔者的一次测试。
黑客小元同时向笔者透露该漏洞最早在2月14日出现,但联通方面一直没有修复。小元给笔者发了一个该漏洞的测试网址,如下图所示:
在浏览器打开这个网址,出现简单的几个输入框,按照提示,笔者依次输入验证码、接收短信的手机号码(注:此处必须填写联通手机号码)、短信内容,然而点击提交查询内容。提交后,弹出一个保存文件的窗口,笔者将这个文件名为vild.do的文件保存在桌面。用文本工具打开该文件后,显示为:yes(注:发送成功),如下图所示:
仅仅过了几秒钟后,拿来测试的一部iPhone 4s收到了笔者的测试短信。如下图所示:
当笔者询问该漏洞来源详情的,黑客小元拒绝透露来源消息。但仍然向笔者发送了该漏洞的脚本代码,如下图所示:
虽然笔者不太懂代码,但通过上图我们得知此次联通客服系统的漏洞相对来说比较“弱智”,容易被普通的黑客加以利用。
总结:一个出现了近一周的漏洞都没有被联通补上,不能不说这是一种巨大的失职。而此项漏洞如果被不不法分子利用加以诈骗的话,后果将会怎样?