你用移動手機分享的熱點,別人用來登陸你的郵箱


據FreeBuf報道,漏洞盒子技術團隊近日在中國移動手機熱點分享功能裏,發現一個安全漏洞,利用該漏洞,任何連接你手機熱點的人,都可以隨意登錄並操作你的移動139郵箱和移動夢網。

中國移動作為中國最大的通信運營商,用户量多達八億,這也意味着大量的移動用户陷入安全危機。

在漏洞盒子發佈的測試視頻中,我們可以看到手機在接入非移動網絡環境中,登陸139郵箱,是一個普通的登陸頁面,需要密碼進行登陸。而在接入移動WiFi熱點後,再次登錄,則無需密碼直接登陸成功。而且,在進入郵箱後可進行任何操作,不僅可以查看網盤和通訊錄,還可以進行消費。


測試人員使用宿主郵箱賬號訂購動漫業務,並收到成功訂購的短信

同樣,在對移動夢網的登陸測試中,情況一致。

為什麼是移動139郵箱和移動夢網。這是因為移動方面為了用户操作方便,為移動139郵箱及移動夢網提供了“免密碼直接登陸”的功能設置,當用户進行了這一設置後,使用手機通過移動GRPS、3G、4G上網方式時,可直接登陸簡版、酷版的139郵箱。只有手機處於非運營商網絡中如WLAN中,139郵箱才需要賬號密碼進行手工操作。

不過這樣的操作便利如今成為安全隱患,用户的手機很容易受到攻擊。據漏洞盒子團隊介紹,該漏洞本身技術含量並不高明,也很容易修復,但因為該漏洞涉及海量用户,可以造成大量的個人信息泄露,隱患巨大。目前,漏洞盒子已積極聯繫中國移動,希望可以儘快修復該漏洞。


資料來源:雷鋒網
作者/編輯:金紅

如果喜歡我們的文章,請即分享到︰