昨日有黑客爆料称中国联通客服系统存有巨大漏洞。一般情况下联通10010号码只发一些套餐使用情况和充值成功与否的提示短信，但昨日有网友利用该漏洞自行发布来源为“10010”的短信并进行了展示。此消息引发数家安全软件厂商发出“安全预警”，提示消费者警惕冒充联通客服的欺诈短信。

　　可随意发送“10010”来源短信

　　记者昨日联系上了一位不愿意透露姓名的黑客，对方表示，一个名为“乌云”的安全网站于2月14日就提交了此漏洞。记者随后进入该网站，查找到了相关页面。

　　据了解，此漏洞的发现者为“zazaz”，中国联通该漏洞涉及其客服系统，即“中国联通可以用10010（中国联通客服号码）给任意联通号发自定义短信”，危害等级为“高”。

　　按照黑客提供的网址，可以打开一个带有数个输入框的页面。依次输入验证码、接收短信的联通手机号码、短信内容，并点击“提交查询内容”。提交后仅仅几秒钟，刚才填写的联通号码手机就能收到“10010”发来的短信。更为严重的是，任何人均能利用该漏洞向任何联通用户发送任何文字内容的短信，而且显示来源号码为“10010”。

　　“其实也就是联通的验证码机制问题。”上述不愿具名的黑客对记者表示，这个漏洞的利用门槛非常低，在“乌云”网站正式对外公布该漏洞后，随着消息的传播，“被部分用户用来娱乐”。

　　或被诈骗、木马利用

　　业内人士均认为，该漏洞背后存在的风险不可小视。“乌云”网站对此就给出警示“任何人都可以用官方10010给联通手机号发送短信，被用来短信诈骗，危害很大。”上述黑客还表示，如果在短信后面附上危险链接，用户一旦点击，链接就可以下载木马，绑定SP业务定制，甚至结合WAP漏洞获取用户手机浏览器里的SID（安全标识符，是标识用户、组和计算机账户的唯一的号码）。

　　记者昨日晚间致电中国联通负责媒体联络的相关人士，对方表示已经关注到了此消息，相关技术部门已经对此漏洞进行了修补，并在进一步调查。

　　不过，根据“乌云”上的记录显示，早在2月14日，漏洞“细节已通知厂商并且等待厂商处理中”，但联通方面一直没有修复。该网站还显示，直到2月19日，“厂商已经主动忽略漏洞，细节向公众公开”。直到昨日修复完毕，时间已经过去了一个星期。

　　中国联通处理问题的速度由此遭到业内人士的质疑。据中国联通最新发布的2012年1月份主要运营数据，其3G用户已增至4306.9万户，2G用户接近1.6亿户。如此巨大的用户基数也加大了漏洞的风险。

　　“为什么一个傻瓜漏洞，联通自己没发现？如果被不法分子利用加以诈骗的话，后果将会怎样？”互联网资深观察家丁道师认为。记者试图了解漏洞带来的损失，上述中国联通相关人士表示技术部门目前并未就此进行反馈。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。