昨天下午，國(guó)內(nèi)漏洞報(bào)告平臺(tái)烏云上傳出一個(gè)中國(guó)聯(lián)通的高危漏洞，白帽子稱該漏洞可致使聯(lián)通用戶通話記錄、短信收發(fā)記錄、登陸過(guò)的社交賬號(hào)等多個(gè)重要隱私信息被泄露。

在漏洞的簡(jiǎn)要描述中，其透露不僅可以查詢用戶通話、短信等隱私，還可以得到目標(biāo)手機(jī)號(hào)碼的綁定郵箱id、手機(jī)IMEI、手機(jī)型號(hào)以及基站定位，幾乎涉及用戶和運(yùn)營(yíng)商之間的所有信息。

消息一出來(lái)，立刻在社交網(wǎng)絡(luò)、媒體上傳開(kāi)來(lái)。新年的第一發(fā)國(guó)內(nèi)重要安全事故，就這樣倏然開(kāi)場(chǎng)了。

漏洞由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）接收，后轉(zhuǎn)交給中國(guó)聯(lián)通。昨日下午五點(diǎn)多，中國(guó)聯(lián)通客服在微博上稱已關(guān)注到此問(wèn)題，正在跟進(jìn)核查中。大約晚上七八點(diǎn)，中國(guó)聯(lián)通客服開(kāi)始在微博上對(duì)相關(guān)報(bào)道評(píng)論，聲明存在漏洞的系統(tǒng)為其實(shí)驗(yàn)系統(tǒng)，只包含少量測(cè)試模擬數(shù)據(jù)，中國(guó)聯(lián)通獲知后已經(jīng)對(duì)漏洞進(jìn)行了修復(fù)。

中國(guó)聯(lián)通客服在微博上咨詢?yōu)踉坡┒词乱?/em>

響應(yīng)速度如此快，確實(shí)值得贊揚(yáng)。不過(guò)關(guān)于其說(shuō)法的可信度，卻不太好說(shuō)，烏云方面后續(xù)向雷鋒網(wǎng)回應(yīng)稱，對(duì)于聯(lián)通“一個(gè)項(xiàng)目的漏洞，并非全國(guó)系統(tǒng)”的說(shuō)法不予置評(píng)，烏云希望聯(lián)通盡快修復(fù)漏洞，并避免再出現(xiàn)此類問(wèn)題。

雷鋒網(wǎng)則在關(guān)注另外一點(diǎn)，中國(guó)聯(lián)通確認(rèn)的這個(gè)漏洞里，有一些不該出現(xiàn)的數(shù)據(jù)。這家網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供方，真的有權(quán)拿到那些嗎？

在漏洞頁(yè)面上，提到了三類數(shù)據(jù)。

一是用戶使用聯(lián)通業(yè)務(wù)的記錄，包括通話記錄、短信收發(fā)記錄、目標(biāo)手機(jī)號(hào)綁定的郵箱、流量套餐和使用情況；

二是某個(gè)具體手機(jī)（號(hào)碼）和聯(lián)通基站之間連接的必需數(shù)據(jù)，包括手機(jī)IMEI、手機(jī)型號(hào)（不太確定這個(gè)是否為必需數(shù)據(jù)）、地理位置（連接過(guò)的基站可作為定位參考）；

三是登陸過(guò)的社交賬號(hào)。

通過(guò)漏洞可以獲取以上前兩種信息，無(wú)可厚非，我們還曾經(jīng)在運(yùn)營(yíng)商登記過(guò)身份證信息，如果出現(xiàn)問(wèn)題，這個(gè)其實(shí)也存在泄露可能。

只是，第三種信息就很奇怪了，用戶曾經(jīng)登陸過(guò)的社交賬號(hào)？中國(guó)聯(lián)通怎么會(huì)有？我們登陸社交網(wǎng)站似乎跟它沒(méi)關(guān)系吧？

一位不愿具名的安全專家告訴雷鋒網(wǎng)，如果可以查詢到用戶登陸過(guò)的社交賬號(hào)，最大可能是基于過(guò)往流量進(jìn)行分析，各大社交網(wǎng)站不知道、也太可能去告知運(yùn)營(yíng)商自家賬號(hào)曾經(jīng)在哪臺(tái)手機(jī)上登陸過(guò)。

所謂流量分析技術(shù)，是說(shuō)將過(guò)往流量的特征進(jìn)行甄別，其中各大社交網(wǎng)站的流量可單獨(dú)提取出來(lái)，并做更細(xì)致的賬號(hào)密碼、查看信息、發(fā)送信息等各種數(shù)據(jù)提煉。這種技術(shù)早有先例，斯諾登就曾經(jīng)曝光美國(guó)NSA在運(yùn)營(yíng)商的流量出口上做類似分析。

事情真相不得而知，中國(guó)聯(lián)通并未就數(shù)據(jù)類別進(jìn)行解釋。所以，如果是真的，我們有辦法防范嗎？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。