烏云平臺公布的漏洞公告截圖
國內漏洞報告平臺烏云的一則漏洞公告顯示,中國移動(dòng)、電信和聯(lián)通存在流量計費系統漏洞,用戶(hù)可以利用該漏洞從而使用遠遠超出其套餐的流量。
隨后,中新網(wǎng)IT頻聯(lián)系了三大運營(yíng)商核實(shí)情況,截至發(fā)稿,尚未收到回應。
烏云在上述漏洞公告中稱(chēng),運營(yíng)商為了給客戶(hù)提供方便,設置了免收取流量費的白名單,當計費系統檢測到用戶(hù)訪(fǎng)問(wèn)的是白名單中的網(wǎng)址或接收彩信時(shí)就不會(huì )進(jìn)行扣費。
“問(wèn)題出在檢測上,當用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí),向服務(wù)器發(fā)送一條http請求頭,計費系統通過(guò)檢測請求頭來(lái)分辨用戶(hù)訪(fǎng)問(wèn)的是不是白名單中的網(wǎng)址或者是接收彩信。但是計費系統檢測的是用戶(hù)發(fā)來(lái)的請求信息,這條信息是來(lái)自于用戶(hù)的,通過(guò)自定義該信息可以達到欺騙計費檢測達到免流量上網(wǎng)的目的。”上述漏洞公告描述道。
烏云在公告中還稱(chēng),若漏洞擴大,會(huì )使運營(yíng)商損失過(guò)大。獨立電信行業(yè)分析師付亮對中新網(wǎng)IT頻道表示,電信運營(yíng)商計費系統可能有BUG,上述情況也有可能存在,但這不是大漏洞,影響不大。
烏云平臺公布的漏洞公告截圖烏云平臺公布的漏洞公告截圖
中新網(wǎng)12月30日電(IT頻道 吳濤)29日,國內漏洞報告平臺烏云的一則漏洞公告顯示,中國移動(dòng)、電信和聯(lián)通存在流量計費系統漏洞,用戶(hù)可以利用該漏洞從而使用遠遠超出其套餐的流量。
隨后,中新網(wǎng)IT頻聯(lián)系了三大運營(yíng)商核實(shí)情況,截至發(fā)稿,尚未收到回應。
烏云在上述漏洞公告中稱(chēng),運營(yíng)商為了給客戶(hù)提供方便,設置了免收取流量費的白名單,當計費系統檢測到用戶(hù)訪(fǎng)問(wèn)的是白名單中的網(wǎng)址或接收彩信時(shí)就不會(huì )進(jìn)行扣費。
“問(wèn)題出在檢測上,當用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí),向服務(wù)器發(fā)送一條http請求頭,計費系統通過(guò)檢測請求頭來(lái)分辨用戶(hù)訪(fǎng)問(wèn)的是不是白名單中的網(wǎng)址或者是接收彩信。但是計費系統檢測的是用戶(hù)發(fā)來(lái)的請求信息,這條信息是來(lái)自于用戶(hù)的,通過(guò)自定義該信息可以達到欺騙計費檢測達到免流量上網(wǎng)的目的。”上述漏洞公告描述道。
烏云在公告中還稱(chēng),若漏洞擴大,會(huì )使運營(yíng)商損失過(guò)大。獨立電信行業(yè)分析師付亮對中新網(wǎng)IT頻道表示,電信運營(yíng)商計費系統可能有BUG,上述情況也有可能存在,但這不是大漏洞,影響不大。
