三大运营商存流量计费漏洞 专家:损失不会太大
来源:央广网 发布时间:2016-01-01 09:54:00

央广网北京1月1日消息(记者张棉棉)据中国之声《新闻纵横》报道,近日,国内漏洞报告平台乌云在一则漏洞公告上显示,中国移动、电信和联通三大运营商存在流量计费系统漏洞,用户可以利用这一漏洞完成免费上网,这一漏洞已经存在一段时间,目前尚不确定是否有人借此牟利。

上述漏洞公告描述道:“问题出在检测上,当用户访问互联网时,向服务器发送一条http请求头,计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息,这条信息是来自于用户的,通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。”此外,乌云在公告中还称,若漏洞扩大,会使运营商损失过大。免费的“流量蛋糕”这么容易就能吃到吗?

乌云在漏洞公告中称,运营商为了给客户提供方便,设置了免收取流量费的白名单,当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。乌云漏洞报告平台运营人员孟卓说:通过提交的信息来看,提交者在网上看了几个视频,应该会有几十兆的流量,但他通过这个流量计费,也就是运营商流量查询的软件,可以做到让流量使用量为零。

欺骗计费检测系统、免费用流量这么容易完成吗?知名通信业观察家付亮解释说,其实,这个免费过程就是一个模拟运营商提供的免费通道的过程,比如说,发彩信是不收流量费的,那么一些黑客就模拟出了发彩信的过程,实际上却是上网使用流量。

付亮说,这个Bug最典型的特点,就是利用了给这些特殊的应用一个免费通道,典型的就是彩信,彩信不管发送多少都不会收流量费,要给他们设置一个免费通道。然后有人就发现可以模拟这个通道,起到一个流量免费使用的作用,它就是模拟这个通道,但是这个模拟的空间是有限的。

乌云在公告中还称,如果漏洞扩大,会使运营商损失过大。孟卓说,虽然检测报告最近才提交,但是这一漏洞估计已经存在很长时间。

这是近期有人报告在我们的平台,但是后来我们也看了一些互联网上的评论啊,有些人给到的信息,就是好像这种问题似乎是很多人都知道的情况,而且我们还发现了一些网站早已知道这种问题,甚至还写了一些专用的程序,应该是能做到免费上网的这样,现在我们不确定是否有人在用这个牟利。

目前三大运营商还没有对这一漏洞做出回应,但付亮认为,由于漏洞比较小,所以对运营商来说,由漏洞导致的部分用户从收费流量变成免费流量,损失不会太大。

付亮说,因为普通人不会用,专业人士实际上也不屑于去偷这个流量,如果运营商短期内能把这个漏洞弥补一下的话,其他人也就不会用这个去做一个什么样的工具,让普通人可以去偷流量的,这样通过这个渠道被偷的流量就不会太多。

另一方面,相比运营商最近推出的各种“送流量”优惠套餐,这一漏洞带来的经营负面影响估计也十分有限,付亮说,三大运营商为了促进用户使用流量,推出了各种赠送等流量补贴的措施,和这个比,漏洞带来的只是极少的一块儿。

但是,新的问题又来了,这些流量普通用户偷不走,用不了,只能便宜了胆大技高的黑客。那么,这些被偷走的流量,会不会最后还是由普通用户来埋单呢?付亮回答,这个大可不必担心,因为就像彩信一样,运营商承诺了不收流量费,这部分流量实际上就没有计入收费系统,就不可能再去收取别人的费用。

更多精彩资讯>>>

猜你喜欢