昨天下午,國內(nèi)漏洞報(bào)告平臺烏云上傳出一個中國聯(lián)通的高危漏洞,白帽子稱該漏洞可致使聯(lián)通用戶通話記錄、短信收發(fā)記錄、登陸過的社交賬號等多個重要隱私信息被泄露。
在漏洞的簡要描述中,其透露不僅可以查詢用戶通話、短信等隱私,還可以得到目標(biāo)手機(jī)號碼的綁定郵箱id、手機(jī)IMEI、手機(jī)型號以及基站定位,幾乎涉及用戶和運(yùn)營商之間的所有信息。
消息一出來,立刻在社交網(wǎng)絡(luò)、媒體上傳開來。新年的第一發(fā)國內(nèi)重要安全事故,就這樣倏然開場了。
漏洞由國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)接收,后轉(zhuǎn)交給中國聯(lián)通。昨日下午五點(diǎn)多,中國聯(lián)通客服在微博上稱已關(guān)注到此問題,正在跟進(jìn)核查中。大約晚上七八點(diǎn),中國聯(lián)通客服開始在微博上對相關(guān)報(bào)道評論,聲明存在漏洞的系統(tǒng)為其實(shí)驗(yàn)系統(tǒng),只包含少量測試模擬數(shù)據(jù),中國聯(lián)通獲知后已經(jīng)對漏洞進(jìn)行了修復(fù)。
中國聯(lián)通客服在微博上咨詢?yōu)踉坡┒词乱?/p>
響應(yīng)速度如此快,確實(shí)值得贊揚(yáng)。不過關(guān)于其說法的可信度,卻不太好說,烏云方面后續(xù)向雷鋒網(wǎng)回應(yīng)稱,對于聯(lián)通“一個項(xiàng)目的漏洞,并非全國系統(tǒng)”的說法不予置評,烏云希望聯(lián)通盡快修復(fù)漏洞,并避免再出現(xiàn)此類問題。
雷鋒網(wǎng)則在關(guān)注另外一點(diǎn),中國聯(lián)通確認(rèn)的這個漏洞里,有一些不該出現(xiàn)的數(shù)據(jù)。這家網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供方,真的有權(quán)拿到那些嗎?
在漏洞頁面上,提到了三類數(shù)據(jù)。
一是用戶使用聯(lián)通業(yè)務(wù)的記錄,包括通話記錄、短信收發(fā)記錄、目標(biāo)手機(jī)號綁定的郵箱、流量套餐和使用情況;
二是某個具體手機(jī)(號碼)和聯(lián)通基站之間連接的必需數(shù)據(jù),包括手機(jī)IMEI、手機(jī)型號(不太確定這個是否為必需數(shù)據(jù))、地理位置(連接過的基站可作為定位參考);
三是登陸過的社交賬號。
通過漏洞可以獲取以上前兩種信息,無可厚非,我們還曾經(jīng)在運(yùn)營商登記過身份證信息,如果出現(xiàn)問題,這個其實(shí)也存在泄露可能。
只是,第三種信息就很奇怪了,用戶曾經(jīng)登陸過的社交賬號?中國聯(lián)通怎么會有?我們登陸社交網(wǎng)站似乎跟它沒關(guān)系吧?
一位不愿具名的安全專家告訴雷鋒網(wǎng),如果可以查詢到用戶登陸過的社交賬號,最大可能是基于過往流量進(jìn)行分析,各大社交網(wǎng)站不知道、也太可能去告知運(yùn)營商自家賬號曾經(jīng)在哪臺手機(jī)上登陸過。
所謂流量分析技術(shù),是說將過往流量的特征進(jìn)行甄別,其中各大社交網(wǎng)站的流量可單獨(dú)提取出來,并做更細(xì)致的賬號密碼、查看信息、發(fā)送信息等各種數(shù)據(jù)提煉。這種技術(shù)早有先例,斯諾登就曾經(jīng)曝光美國NSA在運(yùn)營商的流量出口上做類似分析。
事情真相不得而知,中國聯(lián)通并未就數(shù)據(jù)類別進(jìn)行解釋。所以,如果是真的,我們有辦法防范嗎?