2015 年 1 月 8 日 14 时 15 分,国内知名漏洞报告平台乌云曝出「中国联通某系统存高危漏洞(可查询任意用户通话记录/短信收发记录/地理位置/登录过的社交帐号等)」,这些漏洞会在主动和被动情况下泄露个人流量情况、最近联系人号码、手机绑定邮箱账号、手机 IMEI、手机型号,并能完成定位功能。
在 2 小时后的 16 时 04 分,乌云再曝漏洞「利用中国联通所属机构某系统接口缺陷在非 Wi-Fi 环境下可导致部分手机信息和 LBS 信息泄露风险」。
再之后 1 小时的 17 点 53 分,JulyTornado 又在乌云曝出「中国联通某省大量核心设备弱口令(疑似厂商后门)」漏洞,简要描述中写道:「中国联通黑龙江某市大量核心设备弱口令,疑似厂商存在后门」。
三漏洞互相印证,基本证实其真实性。
12306 漏洞风波刚过,运营商又被曝后门,请问我们还能过个好年嘛。
它们是怎么做到的
在乌云君的叙述中,被曝出的漏洞其中一处可以在联通用户使用非 Wi-Fi 手机网络上网时,被探测到使用的手机号码、IMSI(国际移动用户识别码,区别用户的有效信息)、手机型号地理位置等敏感信息。
另一处漏洞则在只需要直到目标联通用的手机号码情况下,获取其包括手机号码、时长在内的通话记录,甚至该号码曾使用国的 QQ、微博等社交网络账号信息也能被获取。据称这一漏洞入口为「不该出现的低级漏洞」。或者换句话说,在我们不知不觉间运营商已经越界获取了本不该获取的用户个人信息。
目前这些漏洞细节仅向厂商公开,并已交由 CNCERT(国家互联网应急中心)对接处理。
通信运营商下庞大复杂的特殊系统会比互联网企业存在更多且影响广泛的漏洞,如果过分获取用户使用信息又无法保护这些信息的安全,后果将无法想像。
被麻痹的运营商
事实上在乌云平台上,运营商们的漏洞并不算少。在乌云存在的 4 年间,平台上与联通相关的漏洞共有 658 条,其中包括「中国联通山东分公司某系统存在 SQL 注入出现大量用户账户和密码信息泄露」——该漏洞会造成入侵者登录系统管理员后台,任意添加、删除用户,启用、装机和查看设备终端;「中国联通某省公司 SQL+XSS+越权+路径+遍历」——该漏洞导致 47 万用户名密码泄露;「中国联通某漏洞导致数十万客户信息泄露」——可导致数十万客户姓名、电话、余额、套餐详情、积分信息泄露。
在曾经与运营商工作人员的交流过程中曾问及类似问题,他们的答案是:这些漏洞不会怎样,我们有内网、短信等验证系统。
被遗忘的权利
类似运营商、12306 这样的基础设施在给用户带来便利的同时,身份证、手机号码这些关乎每个人隐私的信息安全又该作何保证?
「贪婪」收集用户信息,又没有保护敏感隐私信息的能力——最可怕的是这些泄露出去的信息覆水难收。
「世界已经在我们周围关上了大门。」
当个人信息已经被甩到 5 毛一条,不断撞库后愈发准确的信息被打包出卖,我们的隐私真的能再次被保护么?
「当无可抗拒时,我们会爱上压迫我们的力量。」
或者那些认为隐私阻碍了历史发展的呼声,是弗洛伊德放在现代的预言?
附,联通方面回应:
联通相关人士表示,该漏洞是联通研究院正在进行的一个项目的漏洞,并非全国系统。乌云发现漏洞后马上告知联通,联通技术人员正在进行修复,目前联通的监控显示,没有发生信息泄露问题。
乌云方面表示对于联通「一个项目的漏洞,并非全国系统」的说法,乌云不予置评。乌云希望联通尽快修复漏洞,并避免再次出现此类问题。
iOS下载