360一年内被爆两次相同重大漏洞 用户密码可随意修改

日期:2013-11-27 作者:admin 来源: 中国财富网 推荐:股民学院

 11月26日,乌云漏洞平台在微博上披露,有白帽子发现360账号系统存在“任意用户密码修改”漏洞,使用360账号保存过的电话、短信、记录以及云盘中的私人文件均有可能被被随意浏览下载。而此漏洞在2012年6月份已被网友爆出过,属于“设计缺陷/逻辑错误”,也就是说在设计之初完全可以避免。但不知为何,此漏洞一年内被爆出两次。了解消息后的网友纷纷表示出对360安全品质的不信任,若360不能给网民一个清楚的交代,很有可能引发新一轮360软件的卸载狂潮。

目前360已确认该漏洞存在,但作为互联网业的“安全教主”居然被爆出自身系统设计存在设计缺陷,引来不少用户评论。微博用户“老绵羊1984”质问到:“网民的隐私,安全谁来保证”,ID“运筹帷幄”表示“太可怕了”。还有网友调侃到:“@360技术支持,需要弹窗提示用户一下不???”

一直以来,360站在“用户安全和隐私”的道德制高点上,攻击其他互联网厂商。然而从日前所爆出的漏洞来看,完全可以在设计之初就避免,这让360所谓“捍卫用户隐私”的形象一夜之间成为皇帝的新衣。

同类漏洞连续被爆,专家建议尽快清除数据

在对360的相关漏洞历史略加调查后,一条记录引起了记者注意:就在一年前(2012年)的6月,360就曾在乌云网上被爆出类似漏洞,相关的漏洞题目、类型,竟然与本次所发现的惊人地相似!
\

\

2012年6月漏洞与2013年11月漏洞概要对比

究竟是东墙补好西墙又塌?还是360真的在同一问题上再次被曝?目前尚不得而知,在获知该漏洞的存在后,记者第一时间联系了从事安全领域的技术人员,他们分析认为,360通行证密码找回功能存在逻辑设计缺陷,重设密码url中存在可伪造的随机码。此随机码以Uunix时间戳为基准生成,但并未采用动态密匙加密,任何掌握此规律的人都可以据此破解“重设密码”的url,并修改任意账号的密码,从而直接进入用户账户,访问所有保存在360账户下的资料。这不仅包括可能导致“冠希化”的通讯录资料和短信往来记录,更包括用户的各种账号和对应的密码信息,进而为盗窃、诈骗等大开方便之门,形成恶劣的经济隐患,堪称“开门揖盗”。技术人员称,出于安全考虑,在问题解决之前,用户应至少清除所有保存在360账户中的历史资料,以避免造成隐私或财产的重大损害。

今天注册360,明天就变陈冠希

“揭露演艺圈荒淫乱象就靠360啦!!”在对360重大新漏洞的爆料中,网友以这样的口吻着实调侃了一番。俨然有“今天注册360,明天就变陈冠希”的意味。然而,360所存在的这一系统级漏洞,实际危害则远不止如此。
\

看上去360还有可能为反腐败提供“巨大”的帮助

在微博爆料中,网友笑称发现360高管都不用自家产品,乍一看莞尔,细想之下,却觉水比想象的要深。一家IT厂商的产品连续两年被爆出存在同种漏洞,不仅反映出技术实力“后腿”,更显示出态度上的淡漠——用户有什么,何必那么费心?如此运营,令用户寒心,同行齿冷,如乌云网官方就对360的此次“再爆漏洞”表示:“对于那些只想掩盖安全漏洞而不是真正解决安全漏洞的厂商来说,乌云君只能是深深的鄙视......”
\

乌云漏洞报告平台评论

同时业内人士亦评论,长时间以来,360致力于打造出一种“我即安全”的形象,并通过占领道德高地,大量利用舆论攻讦竞争对手,颇得好处。然而子虚乌有的传闻毕竟难以服众,而货真价实的漏洞才真正说明问题。360将大量精力忙于刁难他人,自身问题却视而不见,这真的是一家安全厂商么?
郑重声明:中国财富网所载文章、广告、外部链接和数据仅供参考,不构成投资建议,据此入市,风险自负。
信息纠错:QQ:1625549920 邮箱:1625549920@qq.com 广告联系电话:131-8673-7736
中国财富网-您身边的财富专家:让我们更懂投资理财,同时让我们不断学习总结走向共赢。
相关财富
  • 验证码:

新闻头条

财富图库

  • 邮储银行小额贷款破千亿 商业可持续模式初获成功 邮储银行小额贷款破千...
  • “限购令”扩张 至少覆盖30城 “限购令”扩张 至少覆...
  • 楼盘促销依然继续 楼盘促销依然继续
  • 弃妇也时尚 张雨绮艳色演绎精彩 弃妇也时尚 张雨绮艳色...