中國網(wǎng)科技11月17日訊(記者 甄鼎丞) 近日，魅族論壇中一則聲稱“大家好，我的賬號(hào)被盜了”的發(fā)帖引起轟動(dòng)，發(fā)布該帖的ID為“J.Wong”，而論壇中眾所周知的是，此ID的所有者，正是魅族CEO黃章。

　　其后不久，一位網(wǎng)名為“GLZJIN”的網(wǎng)絡(luò)安全人士便在自己的博客中發(fā)布信息，截圖證明其已“登陸”魅族CEO黃章賬號(hào)，并聲稱其發(fā)現(xiàn)魅族存在重大漏洞——“魅族的賬號(hào)系統(tǒng)存在缺陷，可導(dǎo)致任意賬戶密碼被非法重置”。

　　中國網(wǎng)科技記者走訪魅族公司時(shí)，對(duì)方對(duì)此漏洞并未予以否認(rèn)，只是向記者表示稱“沒有發(fā)現(xiàn)用戶數(shù)據(jù)泄露的問題”，但并未提供相應(yīng)證據(jù)。

　　魅族曝安全漏洞 黃章賬號(hào)被盜

　　無獨(dú)有偶，在魅族論壇“盜號(hào)事件”發(fā)生幾近同時(shí)，國內(nèi)知名網(wǎng)絡(luò)安全網(wǎng)站烏云網(wǎng)也發(fā)布公開信息稱“魅族的賬號(hào)系統(tǒng)內(nèi)存在漏洞可導(dǎo)致任意賬戶的密碼重置”，且將其危害等級(jí)設(shè)定為高。對(duì)此漏洞，其發(fā)現(xiàn)者在發(fā)布的公開信息中簡要描述為：魅族的密碼找回系統(tǒng)存在缺陷，黑客可繞過驗(yàn)證碼從而重置任意賬號(hào)密碼,進(jìn)而導(dǎo)致隱私泄露等不良后果。

　　“只要知道魅族用戶的用戶名或手機(jī)號(hào)，就可以獲取用戶名和密碼?！睘踉凭W(wǎng)相關(guān)負(fù)責(zé)人向中國網(wǎng)科技記者解釋，并簡單解釋了漏洞原因”此漏洞繞過了魅族找回密碼的邏輯?！?/p>

　　眾所周知，魅族論壇與魅族手機(jī)使用的都是同一套賬號(hào)密碼——Flyme賬號(hào)。魅族系列手機(jī)中的通訊錄、短信、用戶記錄及郵件都是通過云服務(wù)器存儲(chǔ)，而Flyme賬號(hào)則是讀取云端數(shù)據(jù)的唯一憑證。一旦Flyme賬戶被控制，黑客即可輕松獲取用戶通訊錄、短信、郵件等敏感信息。

　　對(duì)于此次事件，魅族方面回應(yīng)的態(tài)度相對(duì)謹(jǐn)慎，僅對(duì)中國網(wǎng)科技記者表示“目前的技術(shù)漏洞已經(jīng)全部解決，未來會(huì)建立更完善的漏洞清查機(jī)制?！钡?dāng)記者問及黃章賬號(hào)被盜和用戶信息泄露的具體情況與相關(guān)細(xì)節(jié)問題時(shí)，相關(guān)負(fù)責(zé)人則表示“無可奉告”。

　　原因或?yàn)樵O(shè)計(jì)缺陷

　　對(duì)此問題，中國網(wǎng)科技記者專程采訪到了由“中國黑客教父”萬濤發(fā)起創(chuàng)建的IDF網(wǎng)絡(luò)安全實(shí)驗(yàn)室。

　　“這個(gè)漏洞可以認(rèn)為是設(shè)計(jì)缺陷，是服務(wù)端缺乏充分驗(yàn)證造成的。此類問題多數(shù)屬于網(wǎng)站建設(shè)過程中的殘留問題?！蓖瑸镮DF實(shí)驗(yàn)室創(chuàng)始人之一的Archer向中國網(wǎng)科技記者表示。

　　此漏洞的大致過程為：首先黑客訪問魅族“密碼找回”頁面時(shí)，通過抓包軟件可以獲取本次訪問的用于身份識(shí)別的令牌，然后便可利用此令牌偽造其他用戶請(qǐng)求，并篡改身份驗(yàn)證的郵箱，從而達(dá)到修改密碼的目的。

　　而針對(duì)漏洞中關(guān)鍵問題——偽造請(qǐng)求所用的令牌，Archer作出了形象的解釋“這種參數(shù)替換類似排號(hào)，而令牌就是序號(hào)。例如，甲在領(lǐng)取號(hào)碼后排隊(duì)領(lǐng)獎(jiǎng)，但他把號(hào)碼丟了，結(jié)果別人拿著他的號(hào)把獎(jiǎng)金取出來了。很明顯，這是發(fā)獎(jiǎng)單位沒有再次核實(shí)領(lǐng)獎(jiǎng)人身份造成的?！?/p>

　　而針對(duì)漏洞可能造成的影響，IDF實(shí)驗(yàn)室Archer表示“一般來說，泄露的信息可能成為黑市販賣的對(duì)象。泄露真實(shí)人物的真實(shí)信息可能會(huì)形成蝴蝶效應(yīng) ，成為其它社會(huì)工程學(xué)攻擊的導(dǎo)火索 ，泄露更多個(gè)人的信息?！?/p>

　　此前，烏云網(wǎng)創(chuàng)始人方小頓也曾表示過對(duì)日益深入用戶生活的云技術(shù)的擔(dān)憂，“云技術(shù)是有風(fēng)險(xiǎn)的。以前出問題只影響一兩個(gè)用戶，使用云技術(shù)之后可能影響上千萬的人?！?/p>

　　但當(dāng)記者問起是否有針對(duì)云技術(shù)該方面相關(guān)問題隱患的改善或解決方案時(shí)，烏云網(wǎng)方面和IDF實(shí)驗(yàn)室方面均未予以明確回應(yīng)。

　　中國網(wǎng)科技記者將對(duì)此事保持進(jìn)一步關(guān)注。