央廣網(wǎng)北京1月1日消息(記者張棉棉)據(jù)中國之聲《新聞縱橫》報(bào)道,近日,國內(nèi)漏洞報(bào)告平臺(tái)烏云在一則漏洞公告上顯示,中國移動(dòng)、電信和聯(lián)通三大運(yùn)營商存在流量計(jì)費(fèi)系統(tǒng)漏洞,用戶可以利用這一漏洞完成免費(fèi)上網(wǎng),這一漏洞已經(jīng)存在一段時(shí)間,目前尚不確定是否有人借此牟利。
上述漏洞公告描述道:“問題出在檢測上,當(dāng)用戶訪問互聯(lián)網(wǎng)時(shí),向服務(wù)器發(fā)送一條http請求頭,計(jì)費(fèi)系統(tǒng)通過檢測請求頭來分辨用戶訪問的是不是白名單中的網(wǎng)址或者是接收彩信。但是計(jì)費(fèi)系統(tǒng)檢測的是用戶發(fā)來的請求信息,這條信息是來自于用戶的,通過自定義該信息可以達(dá)到欺騙計(jì)費(fèi)檢測達(dá)到免流量上網(wǎng)的目的。”此外,烏云在公告中還稱,若漏洞擴(kuò)大,會(huì)使運(yùn)營商損失過大。免費(fèi)的“流量蛋糕”這么容易就能吃到嗎?
烏云在漏洞公告中稱,運(yùn)營商為了給客戶提供方便,設(shè)置了免收取流量費(fèi)的白名單,當(dāng)計(jì)費(fèi)系統(tǒng)檢測到用戶訪問的是白名單中的網(wǎng)址或接收彩信時(shí)就不會(huì)進(jìn)行扣費(fèi)。烏云漏洞報(bào)告平臺(tái)運(yùn)營人員孟卓說:通過提交的信息來看,提交者在網(wǎng)上看了幾個(gè)視頻,應(yīng)該會(huì)有幾十兆的流量,但他通過這個(gè)流量計(jì)費(fèi),也就是運(yùn)營商流量查詢的軟件,可以做到讓流量使用量為零。
欺騙計(jì)費(fèi)檢測系統(tǒng)、免費(fèi)用流量這么容易完成嗎?知名通信業(yè)觀察家付亮解釋說,其實(shí),這個(gè)免費(fèi)過程就是一個(gè)模擬運(yùn)營商提供的免費(fèi)通道的過程,比如說,發(fā)彩信是不收流量費(fèi)的,那么一些黑客就模擬出了發(fā)彩信的過程,實(shí)際上卻是上網(wǎng)使用流量。
付亮說,這個(gè)Bug最典型的特點(diǎn),就是利用了給這些特殊的應(yīng)用一個(gè)免費(fèi)通道,典型的就是彩信,彩信不管發(fā)送多少都不會(huì)收流量費(fèi),要給他們設(shè)置一個(gè)免費(fèi)通道。然后有人就發(fā)現(xiàn)可以模擬這個(gè)通道,起到一個(gè)流量免費(fèi)使用的作用,它就是模擬這個(gè)通道,但是這個(gè)模擬的空間是有限的。
烏云在公告中還稱,如果漏洞擴(kuò)大,會(huì)使運(yùn)營商損失過大。孟卓說,雖然檢測報(bào)告最近才提交,但是這一漏洞估計(jì)已經(jīng)存在很長時(shí)間。
這是近期有人報(bào)告在我們的平臺(tái),但是后來我們也看了一些互聯(lián)網(wǎng)上的評論啊,有些人給到的信息,就是好像這種問題似乎是很多人都知道的情況,而且我們還發(fā)現(xiàn)了一些網(wǎng)站早已知道這種問題,甚至還寫了一些專用的程序,應(yīng)該是能做到免費(fèi)上網(wǎng)的這樣,現(xiàn)在我們不確定是否有人在用這個(gè)牟利。
目前三大運(yùn)營商還沒有對這一漏洞做出回應(yīng),但付亮認(rèn)為,由于漏洞比較小,所以對運(yùn)營商來說,由漏洞導(dǎo)致的部分用戶從收費(fèi)流量變成免費(fèi)流量,損失不會(huì)太大。
付亮說,因?yàn)槠胀ㄈ瞬粫?huì)用,專業(yè)人士實(shí)際上也不屑于去偷這個(gè)流量,如果運(yùn)營商短期內(nèi)能把這個(gè)漏洞彌補(bǔ)一下的話,其他人也就不會(huì)用這個(gè)去做一個(gè)什么樣的工具,讓普通人可以去偷流量的,這樣通過這個(gè)渠道被偷的流量就不會(huì)太多。
另一方面,相比運(yùn)營商最近推出的各種“送流量”優(yōu)惠套餐,這一漏洞帶來的經(jīng)營負(fù)面影響估計(jì)也十分有限,付亮說,三大運(yùn)營商為了促進(jìn)用戶使用流量,推出了各種贈(zèng)送等流量補(bǔ)貼的措施,和這個(gè)比,漏洞帶來的只是極少的一塊兒。
但是,新的問題又來了,這些流量普通用戶偷不走,用不了,只能便宜了膽大技高的黑客。那么,這些被偷走的流量,會(huì)不會(huì)最后還是由普通用戶來埋單呢?付亮回答,這個(gè)大可不必?fù)?dān)心,因?yàn)榫拖癫市乓粯樱\(yùn)營商承諾了不收流量費(fèi),這部分流量實(shí)際上就沒有計(jì)入收費(fèi)系統(tǒng),就不可能再去收取別人的費(fèi)用。
更多精彩資訊>>>
廚電逆勢增長成炙手“香餑餑
萊索托礦區(qū)再挖掘出巨鉆 重
京東618城市接力賽活動(dòng)狂歡
比特幣年內(nèi)漲幅超過150% 中
中興通訊科技公司將投資146
龍虎榜揭示機(jī)構(gòu)鼠年心頭好
瑞典墨尼克關(guān)注中國疫情,跨
2017年我國汽車產(chǎn)銷量同比增
