昨日下午,白帽“路人A”在漏洞平台乌云提交信息,称联通某系统存在漏洞(微博),通过它可以查询任何用户的通话记录、短信收发记录、地理位置、登录的社交账号等,漏洞级别为“高”,已移交给第三方厂商(ccnert国家互联网应急中心)进行处理。据称,这里的漏洞只需要知道目标用户的手机号码,就可以获得其详细的通话记录(手机号码、时长)甚至是该号码的社交网络账号信息(QQ、微博等)用过。可以获得目标号码手机绑定的邮箱账号、手机IMEI、手机型号,甚至可以锁定用户的地理位置。对此,五云平台相关人员表示,该漏洞确实存在,危害程度较高,描述中提到的漏洞可能造成的危害也属实。他还表示,这里的漏洞入口确实是一个不应该出现的低级漏洞。目前,漏洞详情已通过cncert通报。联通相关人士称,该漏洞是联通研究院正在进行的一个项目的漏洞,并非国家系统。吴云发现漏洞后第一时间通知联通,目前联通技术人员正在修复中。目前,中国联通监测显示未发生信息泄露事件。
