0
本文作者: Longye | 2015-01-09 23:01 |
昨天下午,国内漏洞报告平台乌云上传出一个中国联通的高危漏洞,白帽子称该漏洞可致使联通用户通话记录、短信收发记录、登陆过的社交账号等多个重要隐私信息被泄露。
在漏洞的简要描述中,其透露不仅可以查询用户通话、短信等隐私,还可以得到目标手机号码的绑定邮箱id、手机IMEI、手机型号以及基站定位,几乎涉及用户和运营商之间的所有信息。
消息一出来,立刻在社交网络、媒体上传开来。新年的第一发国内重要安全事故,就这样倏然开场了。
漏洞由国家互联网应急中心(CNCERT)接收,后转交给中国联通。昨日下午五点多,中国联通客服在微博上称已关注到此问题,正在跟进核查中。大约晚上七八点,中国联通客服开始在微博上对相关报道评论,声明存在漏洞的系统为其实验系统,只包含少量测试模拟数据,中国联通获知后已经对漏洞进行了修复。
中国联通客服在微博上咨询乌云漏洞事宜
响应速度如此快,确实值得赞扬。不过关于其说法的可信度,却不太好说,乌云方面后续向雷锋网回应称,对于联通“一个项目的漏洞,并非全国系统”的说法不予置评,乌云希望联通尽快修复漏洞,并避免再出现此类问题。
雷锋网则在关注另外一点,中国联通确认的这个漏洞里,有一些不该出现的数据。这家网络基础设施提供方,真的有权拿到那些吗?
在漏洞页面上,提到了三类数据。
一是用户使用联通业务的记录,包括通话记录、短信收发记录、目标手机号绑定的邮箱、流量套餐和使用情况;
二是某个具体手机(号码)和联通基站之间连接的必需数据,包括手机IMEI、手机型号(不太确定这个是否为必需数据)、地理位置(连接过的基站可作为定位参考);
三是登陆过的社交账号。
通过漏洞可以获取以上前两种信息,无可厚非,我们还曾经在运营商登记过身份证信息,如果出现问题,这个其实也存在泄露可能。
只是,第三种信息就很奇怪了,用户曾经登陆过的社交账号?中国联通怎么会有?我们登陆社交网站似乎跟它没关系吧?
一位不愿具名的安全专家告诉雷锋网,如果可以查询到用户登陆过的社交账号,最大可能是基于过往流量进行分析,各大社交网站不知道、也太可能去告知运营商自家账号曾经在哪台手机上登陆过。
所谓流量分析技术,是说将过往流量的特征进行甄别,其中各大社交网站的流量可单独提取出来,并做更细致的账号密码、查看信息、发送信息等各种数据提炼。这种技术早有先例,斯诺登就曾经曝光美国NSA在运营商的流量出口上做类似分析。
事情真相不得而知,中国联通并未就数据类别进行解释。所以,如果是真的,我们有办法防范吗?
雷峰网原创文章,未经授权禁止转载。详情见转载须知。