昨天下午,漏洞平台乌云上的白帽子“路人甲”提交信息称,中国联通(微博)系统存在漏洞,可查询任何用户通话记录、短信收发记录、地理位置和登录的社交账户。该漏洞的危害等级为“高”,目前,已由第三方制造商移交(cncert处理国家互联网应急中心)。
据说这里的漏洞只需要知道目标用户的手机号码,就可以获得详细的通话记录(手机号码、时间)甚至社交网络账号信息(QQ、微博等),同时还可以获得目标号手机绑定的邮箱账号,手机IMEI,手机型号,甚至可以锁定用户的地理位置。
对此,乌云平台相关人士表示,漏洞确实存在,危害水平较高,描述中提到的漏洞可能造成的危害也是真实的。他还说,这里的漏洞入口确实是一个不应该出现的低级漏洞。漏洞的细节已经通过cncert通知。
中国联通表示,这个漏洞是中国联通研究所正在进行的一个项目,而不是一个国家系统。乌云立即通知中国联通,技术人员正在修复。目前,中国联通的监控显示,没有信息泄露问题。