央廣網北京1月1日消息(記者張棉棉)據中國之聲《新聞縱橫》報道,近日,國內漏洞報告平臺烏云在一則漏洞公告上顯示,中國移動、電信和聯通三大運營商存在流量計費系統漏洞,用戶可以利用這一漏洞完成免費上網,這一漏洞已經存在一段時間,目前尚不確定是否有人借此牟利。
上述漏洞公告描述道:“問題出在檢測上,當用戶訪問互聯網時,向服務器發送一條http請求頭,計費系統通過檢測請求頭來分辨用戶訪問的是不是白名單中的網址或者是接收彩信。但是計費系統檢測的是用戶發來的請求信息,這條信息是來自于用戶的,通過自定義該信息可以達到欺騙計費檢測達到免流量上網的目的。”此外,烏云在公告中還稱,若漏洞擴大,會使運營商損失過大。免費的“流量蛋糕”這么容易就能吃到嗎?
烏云在漏洞公告中稱,運營商為了給客戶提供方便,設置了免收取流量費的白名單,當計費系統檢測到用戶訪問的是白名單中的網址或接收彩信時就不會進行扣費。烏云漏洞報告平臺運營人員孟卓說:通過提交的信息來看,提交者在網上看了幾個視頻,應該會有幾十兆的流量,但他通過這個流量計費,也就是運營商流量查詢的軟件,可以做到讓流量使用量為零。
欺騙計費檢測系統、免費用流量這么容易完成嗎?知名通信業觀察家付亮解釋說,其實,這個免費過程就是一個模擬運營商提供的免費通道的過程,比如說,發彩信是不收流量費的,那么一些黑客就模擬出了發彩信的過程,實際上卻是上網使用流量。
付亮說,這個Bug最典型的特點,就是利用了給這些特殊的應用一個免費通道,典型的就是彩信,彩信不管發送多少都不會收流量費,要給他們設置一個免費通道。然后有人就發現可以模擬這個通道,起到一個流量免費使用的作用,它就是模擬這個通道,但是這個模擬的空間是有限的。
烏云在公告中還稱,如果漏洞擴大,會使運營商損失過大。孟卓說,雖然檢測報告最近才提交,但是這一漏洞估計已經存在很長時間。
這是近期有人報告在我們的平臺,但是后來我們也看了一些互聯網上的評論啊,有些人給到的信息,就是好像這種問題似乎是很多人都知道的情況,而且我們還發現了一些網站早已知道這種問題,甚至還寫了一些專用的程序,應該是能做到免費上網的這樣,現在我們不確定是否有人在用這個牟利。
目前三大運營商還沒有對這一漏洞做出回應,但付亮認為,由于漏洞比較小,所以對運營商來說,由漏洞導致的部分用戶從收費流量變成免費流量,損失不會太大。
付亮說,因為普通人不會用,專業人士實際上也不屑于去偷這個流量,如果運營商短期內能把這個漏洞彌補一下的話,其他人也就不會用這個去做一個什么樣的工具,讓普通人可以去偷流量的,這樣通過這個渠道被偷的流量就不會太多。
另一方面,相比運營商最近推出的各種“送流量”優惠套餐,這一漏洞帶來的經營負面影響估計也十分有限,付亮說,三大運營商為了促進用戶使用流量,推出了各種贈送等流量補貼的措施,和這個比,漏洞帶來的只是極少的一塊兒。
但是,新的問題又來了,這些流量普通用戶偷不走,用不了,只能便宜了膽大技高的黑客。那么,這些被偷走的流量,會不會最后還是由普通用戶來埋單呢?付亮回答,這個大可不必擔心,因為就像彩信一樣,運營商承諾了不收流量費,這部分流量實際上就沒有計入收費系統,就不可能再去收取別人的費用。
更多精彩資訊>>>
猜你喜歡
廣東省推出第二批5項青年民 
德國物價創近三十年新高 通 
網聯平臺:春節假期前5天處 
個人養老金制度加速崛起 金 
安徽省新增上市公司數創歷史 
爭產大戲頻頻上演,財富傳承 
以提升國民財商素養為己任, 
女車主通過"團團車行"賣車遇 
