Виявлення високоризикової вразливості Unicom: витік записів дзвінків Відповідь називається експериментальною системою

УчораВразливостіПлатформа Wuyun опублікувала повідомлення зі словами: "China UnicomІснує вразливість у певній системі», через яку можна запитувати записи дзвінків будь-якого користувача, записи надсилання та отримання SMS, географічне розташування та увійшли в соціальні акаунти. До цьогоUnicomОфіційна відповідь повідомляла, що система булаChina UnicomЕкспериментальна система містить лише невелику кількість даних симуляції тестів. Після того, як China Unicom дізнався про це, він одразу виправив цю вразливість. Наразі витоків публічної інформації не виявлено.

Вчора вдень білий капелюх «Passerby A» надіслав інформацію про темну хмару платформи вразливостей, що існує вразливість у системі China Unicom, через яку можна запитувати записи дзвінків будь-якого користувача, записи про відправку та отримання SMS, географічне місцезнаходження та зареєстровані соціальні акаунти тощо, а рівень ризику вразливості має «високий», який був переданий сторонньому виробнику (CNCERT National Internet Emergency Center) для обробки.

Кажуть, що вразливість тут достатньо знати номер мобільного телефону цільового користувача, а також отримати детальні записи дзвінків (номер мобільного, тривалість) і навіть інформацію про соціальну мережу (QQ, Weibo тощо), яку використовував номер, а також отримати електронну пошту, IMEI мобільного телефону, модель мобільного телефону і навіть заблокувати географічне розташування користувача.

У цьому контексті відповідна особа платформи Wuyun зазначила, що вразливість існує, рівень шкоди високий, а можлива шкода, спричинена вразливістю, зазначеною в описі, також є правдою. Він також зазначив, що вразливість тут дійсно є низькорівневою вразливістю, яка не повинна з'являтися. Наразі деталі вразливості були повідомлені через cncert.

Відповідні особи з China Unicom заявили, що ця вразливість є вразливістю поточного проєкту Китайського дослідницького інституту Unicom, а не національної системи. Після того, як Вуюнь виявив цю вразливість, він негайно повідомив China Unicom, що техніки China Unicom її ремонтують, і моніторинг China Unicom показав, що проблеми з витоком інформації немає.