之前報(bào)道過(guò)三大運(yùn)營(yíng)商流量計(jì)費(fèi)系統(tǒng)的漏洞，這個(gè)漏洞相對(duì)比較隱蔽，而目前曝光的有關(guān)聯(lián)通部分客戶端的漏洞就比較低級(jí)了，一旦被黑客發(fā)現(xiàn)，會(huì)輕易對(duì)用戶會(huì)造成嚴(yán)重?fù)p失。

　　根據(jù)漏洞發(fā)現(xiàn)者惡人毛透露，聯(lián)通的沃流量、沃郵箱等Android客戶端可能被用戶免密碼登陸，主要原因出在客戶端本身的一鍵登錄功能。無(wú)需輸入密碼，可以看出原理是利用驗(yàn)證手機(jī)SIM卡是否有效的方式實(shí)現(xiàn)的，于是該作者突發(fā)奇想，如果改變SIM卡手機(jī)號(hào)會(huì)怎么樣？

　　于是該發(fā)現(xiàn)者利用xposed+改號(hào)軟件，將SIM卡手機(jī)號(hào)碼改成任意號(hào)碼，修改后同樣能通過(guò)驗(yàn)證，比較簡(jiǎn)單。像18577777777，18566666666這樣的號(hào)碼都能登陸。并且注冊(cè)賬號(hào)時(shí)候必須注冊(cè)的郵箱也能成功同步過(guò)來(lái)，包含歷史郵件，這樣，就會(huì)對(duì)其他用戶造成不可估量的損失了。而且經(jīng)驗(yàn)證，完全可以通過(guò)抓包抓取到郵箱的POP3密碼。

　　可以看出整個(gè)過(guò)程唯一的技術(shù)手段就是更改SIM卡手機(jī)號(hào)，而這通過(guò)軟件手段也可以簡(jiǎn)單實(shí)現(xiàn)，顯然聯(lián)通方面對(duì)客戶端的意見(jiàn)登陸功能并沒(méi)有做足夠的安全驗(yàn)證措施，屬于明顯的低級(jí)漏洞。

小編在這里希望聯(lián)通能完善相關(guān)客戶端，保障用戶信息安全。