浮尘 发表于 2015-9-12 19:48:46

用中国移动手机分享热点,小心你的邮件泄露


“世界上最遥远的距离是,我在你身边,你却在找WIFI。”这句调侃正是“手机族”的真实写照。当人们越来越依赖手机,突然某一刻找不到网络时,很多人必然很抓狂。

也许你会说:没关系,我们还有热点分享。但是,你有没有想过,当你在与他人分享你的手机热点时,同时也将你的隐私信息分享了出去呢?

近日,漏洞盒子技术团队在中国移动手机热点分享功能里,成功捕获奇葩漏洞一枚——利用该漏洞,任何连接你手机热点的人,都可以随意登录并操作你的移动邮箱和移动梦网。

中国移动作为中国最大的通信运营商,用户量多达八亿,该漏洞涉及中国移动海量的用户,你中招了没?

黑客可通过手机热点,任意登陆你的139邮箱

为了用户操作方便,移动139邮箱及移动梦网拥有免密登录的功能,即你用浏览器打开http://mail.139.com页面时会自动登录你的移动邮箱,无需做任何身份认证。

那么这种业务逻辑是怎样的,安全性如何呢?移动官网对于这一功能的说明如下:
http://image.3001.net/images/20150910/14418551846864.jpg!small
由此我们可以了解到:

1、 当处于中国移动网络中(GPRS、3G、4G),可直接访问139邮箱。
2、 当处于非运营商网络中如WLAN中,139邮箱需要账号密码进行手工登录。
但是这样的设定却存在受攻击的可能:即恶意软件通过运营商网络直接访问139邮箱并进行任意操作,漏洞盒子团队为了验证此推测,特意写了一个APP,打开后可直接获取手机139邮箱的所有邮件,截图如下:
http://image.3001.net/images/20150910/14418552864733.png!small
http://image.3001.net/images/20150910/14418630067723.jpg!small
当连上移动手机的热点时,可直接访问热点手机的139邮箱并进行任意操作,同样,我们也可以登录用户的移动梦网:
http://image.3001.net/images/20150910/14418630592431.jpg!small
http://image.3001.net/images/20150910/14418630376446.jpg!small
据漏洞盒子团队介绍:这个漏洞本身技术含量并不高明,也很容易修复,但因为该漏洞涉及海量用户,可以造成大量的个人信息泄露,隐患巨大,目前,漏洞盒子已积极联系中国移动,希望可以尽快修复该漏洞。

r00tc4 发表于 2015-9-13 06:36:46

支持中国红客联盟(ihonker.org)

Attack 发表于 2015-9-13 09:15:43

长见识了 谢谢楼主

若冰 发表于 2015-9-13 11:23:40

verli 发表于 2015-9-13 15:16:19

这漏洞看似挺简单,如果涉及范围广可就不一样了~谢谢楼主分享!:lol

verli 发表于 2015-9-13 15:16:29

这漏洞看似挺简单,如果涉及范围广可就不一样了~谢谢楼主分享!:lol

clocks 发表于 2015-9-13 23:17:37

这漏洞毒啊!在有心人手里简直就是一大杀器

asion 发表于 2015-9-14 22:47:28

感谢楼主的分享~

54hacker 发表于 2015-9-15 17:30:42

a136 发表于 2015-9-16 03:19:12

支持,看起来不错呢!
页: [1]
查看完整版本: 用中国移动手机分享热点,小心你的邮件泄露