楼主: 浮尘

用中国移动手机分享热点,小心你的邮件泄露

[复制链接]
  • TA的每日心情

    2024-10-23 14:35
  • 签到天数: 917 天

    [LV.10]以坛为家III

    发表于 2015-9-12 19:48:46 | 显示全部楼层 |阅读模式
    14419497831585.jpg
    “世界上最遥远的距离是,我在你身边,你却在找WIFI。”这句调侃正是“手机族”的真实写照。当人们越来越依赖手机,突然某一刻找不到网络时,很多人必然很抓狂。

    也许你会说:没关系,我们还有热点分享。但是,你有没有想过,当你在与他人分享你的手机热点时,同时也将你的隐私信息分享了出去呢?

    近日,漏洞盒子技术团队在中国移动手机热点分享功能里,成功捕获奇葩漏洞一枚——利用该漏洞,任何连接你手机热点的人,都可以随意登录并操作你的移动邮箱和移动梦网。

    中国移动作为中国最大的通信运营商,用户量多达八亿,该漏洞涉及中国移动海量的用户,你中招了没?

    黑客可通过手机热点,任意登陆你的139邮箱

    为了用户操作方便,移动139邮箱及移动梦网拥有免密登录的功能,即你用浏览器打开http://mail.139.com页面时会自动登录你的移动邮箱,无需做任何身份认证。

    那么这种业务逻辑是怎样的,安全性如何呢?移动官网对于这一功能的说明如下:

    由此我们可以了解到:

    1、 当处于中国移动网络中(GPRS、3G、4G),可直接访问139邮箱。
    2、 当处于非运营商网络中如WLAN中,139邮箱需要账号密码进行手工登录。
    但是这样的设定却存在受攻击的可能:即恶意软件通过运营商网络直接访问139邮箱并进行任意操作,漏洞盒子团队为了验证此推测,特意写了一个APP,打开后可直接获取手机139邮箱的所有邮件,截图如下:


    当连上移动手机的热点时,可直接访问热点手机的139邮箱并进行任意操作,同样,我们也可以登录用户的移动梦网:


    据漏洞盒子团队介绍:这个漏洞本身技术含量并不高明,也很容易修复,但因为该漏洞涉及海量用户,可以造成大量的个人信息泄露,隐患巨大,目前,漏洞盒子已积极联系中国移动,希望可以尽快修复该漏洞。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-9-13 06:36:46 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-10-22 10:26
  • 签到天数: 69 天

    [LV.6]常住居民II

    发表于 2015-9-13 09:15:43 | 显示全部楼层
    长见识了 谢谢楼主
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-13 11:23:40 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-5-26 00:47
  • 签到天数: 215 天

    [LV.7]常住居民III

    发表于 2015-9-13 15:16:19 | 显示全部楼层
    这漏洞看似挺简单,如果涉及范围广可就不一样了~谢谢楼主分享!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-5-26 00:47
  • 签到天数: 215 天

    [LV.7]常住居民III

    发表于 2015-9-13 15:16:29 | 显示全部楼层
    这漏洞看似挺简单,如果涉及范围广可就不一样了~谢谢楼主分享!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-9-13 00:40
  • 签到天数: 444 天

    [LV.9]以坛为家II

    发表于 2015-9-13 23:17:37 | 显示全部楼层
    这漏洞毒啊!在有心人手里简直就是一大杀器
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-14 22:47:28 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-15 17:30:42 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-9-16 03:19:12 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-18 11:32 , Processed in 0.024683 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部