魅族曝重大漏洞或泄用户信息 云设计缺陷是主因

中国网科技11月17日讯(记者 甄鼎丞) 近日，魅族论坛中一则声称“大家好，我的账号被盗了”的发帖引起轰动，发布该帖的ID为“J.Wong”，而论坛中众所周知的是，此ID的所有者，正是魅族CEO黄章。

其后不久，一位网名为“GLZJIN”的网络安全人士便在自己的博客中发布信息，截图证明其已“登陆”魅族CEO黄章账号，并声称其发现魅族存在重大漏洞——“魅族的账号系统存在缺陷，可导致任意账户密码被非法重置”。

中国网科技记者走访魅族公司时，对方对此漏洞并未予以否认，只是向记者表示称“没有发现用户数据泄露的问题”，但并未提供相应证据。

魅族曝安全漏洞 黄章账号被盗

无独有偶，在魅族论坛“盗号事件”发生几近同时，国内知名网络安全网站乌云网也发布公开信息称“魅族的账号系统内存在漏洞可导致任意账户的密码重置”，且将其危害等级设定为高。对此漏洞，其发现者在发布的公开信息中简要描述为：魅族的密码找回系统存在缺陷，黑客可绕过验证码从而重置任意账号密码,进而导致隐私泄露等不良后果。

“只要知道魅族用户的用户名或手机号，就可以获取用户名和密码。”乌云网相关负责人向中国网科技记者解释，并简单解释了漏洞原因”此漏洞绕过了魅族找回密码的逻辑。”

众所周知，魅族论坛与魅族手机使用的都是同一套账号密码——Flyme账号。魅族系列手机中的通讯录、短信、用户记录及邮件都是通过云服务器存储，而Flyme账号则是读取云端数据的唯一凭证。一旦Flyme账户被控制，黑客即可轻松获取用户通讯录、短信、邮件等敏感信息。

对于此次事件，魅族方面回应的态度相对谨慎，仅对中国网科技记者表示“目前的技术漏洞已经全部解决，未来会建立更完善的漏洞清查机制。”但当记者问及黄章账号被盗和用户信息泄露的具体情况与相关细节问题时，相关负责人则表示“无可奉告”。

原因或为设计缺陷

对此问题，中国网科技记者专程采访到了由“中国黑客教父”万涛发起创建的IDF网络安全实验室。

“这个漏洞可以认为是设计缺陷，是服务端缺乏充分验证造成的。此类问题多数属于网站建设过程中的残留问题。”同为IDF实验室创始人之一的Archer向中国网科技记者表示。

此漏洞的大致过程为：首先黑客访问魅族“密码找回”页面时，通过抓包软件可以获取本次访问的用于身份识别的令牌，然后便可利用此令牌伪造其他用户请求，并篡改身份验证的邮箱，从而达到修改密码的目的。

而针对漏洞中关键问题——伪造请求所用的令牌，Archer作出了形象的解释“这种参数替换类似排号，而令牌就是序号。例如，甲在领取号码后排队领奖，但他把号码丢了，结果别人拿着他的号把奖金取出来了。很明显，这是发奖单位没有再次核实领奖人身份造成的。”

而针对漏洞可能造成的影响，IDF实验室Archer表示“一般来说，泄露的信息可能成为黑市贩卖的对象。泄露真实人物的真实信息可能会形成蝴蝶效应 ，成为其它社会工程学攻击的导火索 ，泄露更多个人的信息。”

此前，乌云网创始人方小顿也曾表示过对日益深入用户生活的云技术的担忧，“云技术是有风险的。以前出问题只影响一两个用户，使用云技术之后可能影响上千万的人。”

但当记者问起是否有针对云技术该方面相关问题隐患的改善或解决方案时，乌云网方面和IDF实验室方面均未予以明确回应。

中国网科技记者将对此事保持进一步关注。