用中国移动手机分享热点,小心你的邮件泄露

“世界上最遥远的距离是,我在你身边,你却在找WIFI。”这句调侃正是“手机族”的真实写照。当人们越来越依赖手机,突然某一刻找不到网络时,很多人必然很抓狂。

也许你会说:没关系,我们还有热点分享。但是,你有没有想过,当你在与他人分享你的手机热点时,同时也将你的隐私信息分享了出去呢?

近日,漏洞盒子技术团队在中国移动手机热点分享功能里,成功捕获奇葩漏洞一枚——利用该漏洞,任何连接你手机热点的人,都可以随意登录并操作你的移动邮箱和移动梦网。

中国移动作为中国最大的通信运营商,用户量多达八亿,该漏洞涉及中国移动海量的用户,你中招了没?

黑客可通过手机热点,任意登陆你的139邮箱

为了用户操作方便,移动139邮箱及移动梦网拥有免密登录的功能,即你用浏览器打开http://mail.139.com页面时会自动登录你的移动邮箱,无需做任何身份认证。

那么这种业务逻辑是怎样的,安全性如何呢?移动官网对于这一功能的说明如下:

由此我们可以了解到:

1、 当处于中国移动网络中(GPRS、3G、4G),可直接访问139邮箱。 2、 当处于非运营商网络中如WLAN中,139邮箱需要账号密码进行手工登录。

但是这样的设定却存在受攻击的可能:即恶意软件通过运营商网络直接访问139邮箱并进行任意操作,漏洞盒子团队为了验证此推测,特意写了一个APP,打开后可直接获取手机139邮箱的所有邮件,截图如下:

当连上移动手机的热点时,可直接访问热点手机的139邮箱并进行任意操作,同样,我们也可以登录用户的移动梦网:

据漏洞盒子团队介绍:这个漏洞本身技术含量并不高明,也很容易修复,但因为该漏洞涉及海量用户,可以造成大量的个人信息泄露,隐患巨大,目前,漏洞盒子已积极联系中国移动,希望可以尽快修复该漏洞。

* 作者:漏洞盒子,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-09-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

如何云化你的 Windows 应用?

AWS AppStream是一项新的亚马逊服务,它可实现Windows应用的云化,可将操作系统扩展至各种计算机和移动设备。今天,服务最实用的用例是将提供简单的游...

38070
来自专栏伪君子的梦呓

用 Python 实现聊天机器人

0 前言 一个人在家无聊,所以我打算弄一个机器人和自己聊天,后来弄着弄着就出现一点小偏差,聊天机器人是有了,就是没办法用来和自己聊天,只能给别人聊天 ? ? ...

91170
来自专栏编程一生

学习了php之后再来看php怎样学java

18310
来自专栏社区的朋友们

是的,腾讯投票已经拥抱腾讯云了

小程序腾讯投票最近迁移到腾讯云了,本文记录了为什么做这个迁移,以及前后的工作。

1.5K60
来自专栏CSDN技术头条

微服务开发中的数据构架设计

前言 微服务是当前非常流行的技术框架,通过服务的小型化、原子化以及分布式架构的弹性伸缩和高可用性,可以实现业务之间的松耦合、业务的灵活调整组合以及系统的高可用性...

536100
来自专栏镁客网

Win10惊天漏洞曝光,24核48线程高配电脑也能变鸡肋

19630
来自专栏码神联盟

云时代 | 云主机服务器概述、优势及如何选择

近年来,有关云计算的信息、产品和概念,正充斥着互联网的每个角落,在互联网+的背景之下,云技术的出现更是让许多企业的业务数据向云计算靠拢。 1什么是云主机服务器?...

1.8K80
来自专栏IT技术精选文摘

微服务开发中的数据架构设计

34570
来自专栏开源项目

GVP 特辑!PHP 老司机力荐的 6 款实战项目 | 码云周刊第 40 期

GVP 特辑 有数据显示,全球前100万的站点中,有超过70%的站点是使用 PHP 开发的。面对如此流行的编程语言,我们如何才能更有效率的学习?今天小编特意...

58050
来自专栏java思维导图

微服务开发中的数据架构设计

微服务是当前非常流行的技术框架,通过服务的小型化、原子化以及分布式架构的弹性伸缩和高可用性,可以实现业务之间的松耦合、业务的灵活调整组合以及系统的高可用性。为业...

28420

扫码关注云+社区

领取腾讯云代金券