搜狐短信漏洞
数码时尚
编者按:如果你是搜狐的短信用户,此文就不可不看。因为搜狐短信服务中某项功能存在的漏洞,将可能给你带来经济损失!
笔者近日注册成为搜狐短信(http://sms.sohu.com)用户,但在使用过程中,发现“修复密码”功能存在重大漏洞。此漏洞一旦被恶意利用,就会给搜狐短信用户造成经济损失!
事情是这样的:当我在搜狐短信注册之后,系统在发给我的短信中告诉我一个6位数的初始密码,我嫌这个密码太难记(全是数字),就想自己修改一下……
一、修复密码的过程
1.首先进入“修复密码 第一步”页面(http://sms.sohu.com/mysms/fixpwd.php),系统提醒说此项功能每次收费是0.5元(图1)。笔者根据提示输入“手机号”和“保护码”,然后点击“下一步”按钮继续。
2.此时进入的是“修复密码 第二步”页面,系统告诉笔者,已向笔者的手机上发送了一个“确认码”(图2)。果然,很快笔者收到一条包含此“确认码”的短信,并用这个“确认码”修改密码成功。
二、笔者产生的怀疑
在修改密码工作已完成后,笔者一直在等待系统发过来的“另一条”短信,因为按理说,系统应该再告诉笔者密码修改是否成功。但是这条我想象中的短信一直没有收到。
是密码没有修改成功吗?笔者用新的密码登录,确认已经修改成功了。是搜狐“忘”了收费吗?笔者查看了一下自己充值卡的余额,确实已扣去了0.5元。那么,钱是什么时候被扣走的呢?笔者思来想去不得其解,于是决定试个究竟。
在经过多次实验后,结论让笔者大惊失色:搜狐“修复密码”功能收费是通过“修复密码 第一步”执行成功后的“确认码”短信来实现,而不管你是否使用了“修复密码 第二步”,更不管你是否使用成功!
三、可怕的后果
由于任何登录到修复密码相关页面者都可以不经任何验证完成“修复密码 第一步”,设想,假设有个别恶意者随便输入一个手机号码,只要这个手机号码确实是搜狐短信用户,则在点击了“下一步”按钮后,此搜狐短信用户的手机费中就会立刻扣掉0.5元钱。
据笔者测试,在连续使用4次“修复密码 第一步”而未继续完成“修复密码 第二步”后,系统终于出现“错误提示”,告诉笔者:“对不起,您忘记密码次数太多,无法自动修复,请致电搜狐客户服务中心查询。”但到此为止,笔者总计已经损失了2.0元。也就是说,恶意者可以用这种方法让搜狐短信用户损失2.0元。更为严重的是,此时搜狐短信用户已经无法自行修改密码了,而必须同搜狐公司相关工作人员联系询问处理方法,否则只有注销自己的手机号再重新注册(好在注册是免费的)。
四、应付漏洞的方法
广大搜狐短信用户注意了,如果你的手机无缘无故收到一条内容为“您的搜狐短信确认码是xxxxxx,请立即修改密码”的短信,即说明你已经成为上述漏洞的受害者了!最彻底的解决方法是立即到搜狐短信主页上去注销你所登记的手机号,以免受到更大的损害。
当然,解铃还需系铃人,解决问题之根本在于搜狐公司,是他们工作的失误带来了这种严重的隐患。希望搜狐公司能尽快修补此漏洞,给喜欢短信服务的用户一个安全使用氛围。
此外,用户在注册搜狐短信用户时,根本没办法自定义密码。如果不喜欢搜狐分配的初始密码(无规则的6位数字),就必须通过修复密码功能去进行密码修改,如此一来,用户还是需要付出0.5元。这使得搜狐“注册成为搜狐短信息用户是免费的”的声称,就不是名副其实,显得有点“小家子气”吧。