|
国内电信和SMS站之间数据非同步导致短信发送漏洞
By: refdom (refdom@263.net)
漏洞影响:
如果用户A利用此漏洞,那么:
1、用户A将不再为在SMS站的短消息服务支付任何费用
2、用户A可以通过恶意程序,发送垃圾消息,造成严重影响。
3、此行为将造成费用支付问题。
漏洞描述:
当符合下面的条件的时候,这个漏洞存在:
假设用户A拥有一个合法的移动手机号码,然后A在SMS网站(比如:新浪)上注册手机,并开始享受短消息发送服务,
每个月,用户A将为自己在SMS网站的发送服务支付响应的费用,这是完全可行的。
但是当用户A因为各种原因,需要注销这个手机号码的时候,就存在这样的安全问题了。A他将向移动公司去注销这个
手机号码,并且合法地完成注销手续。因此原有的手机号码和付费帐号将不属于这个用户A了。移动公司将不向用户A
收费。但是这个过程对于SMS站来说完全是未通知的,这个用户A在SMS站仍然拥有这个帐号,而且这个帐号完全能够
在注销情况下继续享受短消息发送服务,但是却没有短消息接收服务。问题严重的是,A将不用为他享受的服务支付
任何费用,而这些费用可能将由SMS站支付,而且这样的短消息发送目前还不受到限制,A可以使用这样的漏洞来发
送大量的垃圾信息等,但是却不支付任何费用。
在移动的短消息机制中,可能根本没有检测这个手机号码是否是存在(Active)或者合法的。同时,电信同内容提供商
(搜狐、新浪、网易)他们在用户数据上没有同步,即使一个已经注销了手机号码的用户,他们在SMS网站上可能仍然拥有这个手机帐号。
本问题在1月18及向新浪和移动梦网同时提交,但是并没有得到任何答复。不过,目前仍然存在该安全问题。
|