adminysh

[BUG反馈] [其他] 360手机卫士重大安全隐患,可能造成隐私泄露

360手机卫士有联系人备份功能,这很好,但由于这一功能可能会导致你的联系人数据被他人获取。

案例如下:

张三有一手机号为 13322XXX547的号码,通过该号码注册开通了360手机卫士,并将自己的700联系人通过网络备份到了云端。
过了3个月,张三决定使用新的移动号,原号码 13322XXX547不在使用,于是去营业厅办理了停号,又过了2个月,李四去营业厅办理手机号,正好选中了 13322XXX547这个号,回家后,装上手机,并安装了360手机卫士,登录时发现提示该手机已经注册,于是乎他点了忘记密码功能,系统发给该手机一个验证码,李四输入验证码后,重置了登录密码,用手机登录360卫士后,点恢复联系人,便得到了张三的700联系人通讯录!!!

漏洞关键点:360手机卫士只能通过 手机号作为唯一验证条件,这就是个大BUG。对于10年也不换号的人来说没问题,但是如果你换号,可能就会出现联系人被其他人获取的隐私泄露事件。

解决思路:建议360手机卫士改为 email注册方式,这样如果1个人有2-3个手机的话,都安装360后,可以使三个手机联系人瞬间同步!!

转载请说明出处http://bbs.ttxh.net/?thread-index-fid-11-tid-95-typeid1-1-typeid2-205-typeid3-0-typeid4-0.htm

#1楼
发帖时间:2014-2-26   |   查看数:0   |   回复数:0
游客组