29日�����,國內(nèi)漏洞報告平臺烏云的一則漏洞公告顯示����,中國移動(微博)�、電信和聯(lián)通存在流量計費系統(tǒng)漏洞,用戶可以利用該漏洞從而使用遠遠超出其套餐的流量���。
隨后�����,中新網(wǎng)IT頻道聯(lián)系了三大運營商核實情況�����,截至發(fā)稿���,尚未收到回應。
烏云在上述漏洞公告中稱�����,運營商為了給客戶提供方便,設(shè)置了免收取流量費的白名單���,當計費系統(tǒng)檢測到用戶訪問的是白名單中的網(wǎng)址或接收彩信時就不會進行扣費�。
“問題出在檢測上��,當用戶訪問互聯(lián)網(wǎng)時���,向服務器發(fā)送一條http請求頭��,計費系統(tǒng)通過檢測請求頭來分辨用戶訪問的是不是白名單中的網(wǎng)址或者是接收彩信。但是計費系統(tǒng)檢測的是用戶發(fā)來的請求信息���,這條信息是來自于用戶的�����,通過自定義該信息可以達到欺騙計費檢測達到免流量上網(wǎng)的目的���。”上述漏洞公告描述道�。
烏云在公告中還稱��,若漏洞擴大�����,會使運營商損失過大�����。獨立電信行業(yè)分析師付亮(微博)對中新網(wǎng)IT頻道表示���,電信運營商計費系統(tǒng)可能有BUG,上述情況也有可能存在��,但這不是大漏洞���,影響不大���。
