联通被曝系统漏洞 可查询用户一切信息(图)
中国联通被曝存在可泄密高危漏洞。(网络截图)
【看中国2015年01月10日讯】(看中国记者端木珊综合报导)日前,中国联通被曝存在可泄密高危漏洞,几乎可监控手机用户的一切手机活动信息。
1月8日下午14时15分,漏洞平台乌云发布一则漏洞消息,称“中国联通某系统存在高危漏洞可致相关信息记录\LBS\社会等信息泄露风险”。
据陆媒《新京报》报导,中国联通可以通过该漏洞,查询任意用户通话记录、短信收发记录、地理位置以及登录过的社交账号等。
据称,该漏洞只需知道目标用户的手机号码,即可获取该号码对应的详细的通话记录(手机号码、时长),号码曾经使用过的社交网络账号信息(QQ、微博等),目标号码手机绑定的邮箱账号、手机IMEI、手机型号,甚至可以锁定用户的地理位置等。
乌云平台相关人士将该漏洞级别定位较高,并表示此处漏洞入口确是一个不应该出现的低级漏洞。目前漏洞细节已经通过第三方厂商(cncert国家互联网应急中心)进行了通报。
在2小时后的16时04分,乌云再发布漏洞“利用中国联通所属机构某系统接口缺陷在非 Wi-Fi环境下可导致部分手机信息和 LBS信息泄露风险”。
再过去1小时的17点53分,乌云又曝出“中国联通某省大量核心设备弱口令(疑似厂商后门)”漏洞,简要描述中写道:“中国联通黑龙江某市大量核心设备弱口令,疑似厂商存在后门”。
1月9日,联通相关人士对此回应称,是联通的一个实验项目的漏洞,并且已经修复。乌云方面则对联通“一个项目的漏洞,并非全国系统”的说法,不予置评。
不过,有网友发博文称,“在乌云存在的4年间,平台上与联通相关的漏洞共有658条,其中包括‘中国联通山东分公司某系统存在SQL注入出现大量用户账户和密码信息泄露’——该漏洞会造成入侵者登录系统管理员后台,任意添加、删除用户,启用、装机和查看设备终端;‘中国联通某省公司SQL+XSS+越权+路径+遍历’——该漏洞导致47万用户名密码泄露;‘中国联通某漏洞导致数十万客户信息泄露’——可导致数十万客户姓名、电话、余额、套餐详情、积分信息泄露。”