Mobile 版 (精华区)

发信人: zhangkx (木鱼子), 信区: Mobile
标  题: Sohu短信服务存在重大漏洞
发信站: 哈工大紫丁香 (2003年06月09日18:14:36 星期一), 站内信件

随着手机的普及，各大门户网站也竞相推出手机短信服务。而其服务是否都是十分的安全
呢？近日，本人发现sohu短信服务存在巨大漏洞。 
************************************************ 
**注意！只要你有手机，此篇文章就不可不看！！！** 
************************************************* 

漏洞一：没有任何障碍的注册。 
当我们想用sohu的短信服务时，首先就是要注册手机号码。按下“注册”按钮，同意协议
以后，就可以畅通无阻的进入注册界面。在这里，只要填入任意一个手机号码，就可以对
此手机号码进行注册（如图1），不管你是不是这个手机号码的用户。如果手机已经注册过
，将显示“您已经注册过了，不能重复注册！如果您没有收到密码，或者忘记密码，可以
点这里查询。”如果没注册过服务，将显示“请稍候，密码会在3分钟内发送到您的手机上
。如果3分钟内没有收到密码，请点这里查询。登录之后请修改密码，改成便于记忆的形式
。”虽然这项业务是不收费的，但没有任何防范措施就可以进入的话，运用下文所说的漏
洞二，也会给手机用户造成财产上的极大损失。 

漏洞二：付费￥0.5元的修复密码短信。 
修复密码是用户忘记密码时用的。sohu短信服务的修复密码是利用发送短信的形式，将密
码发送给手机用户，每次费用￥0.5元，从手机费里扣除（如图2）。这小小的5角钱，就是
sohu短信服务的重大漏洞！设想个别不法之徒随便输入一个手机号码，进入“修复密码”
，只要点击“下一步”，这个号码的手机费中就会立刻消失5角钱。倘若能不停的发送修复
密码短信，用此bug写出一个程序，我想一个神州行用户的手机几分钟就没钱了！然而，更
痛苦的是，手机的真正用户此时几乎是没有任何办法来阻止这种行为的，只有眼睁睁的看
着、静悄悄的听着自己的话费渐渐减少。我想世界上最痛苦的事莫过于此了吧！（虽然现
在sohu对此加入了“保护码”，这已经比较有效的阻碍了这种程序的危害，但我认为这没
有从根本上解决问题。） 

漏洞三：用户密码比较容易被盗。 
现已注册的用户不仅有上面所说的修复密码付费的危险，更有拿自己的钱给别人发铃声、
图片等信息的可能。各位看官，且听我慢慢道来。如前所述，sohu短信服务允许用户自行
修改便于记忆的密码。然而由于用户自身的防范意识不强，很容易设置成易于破解的密码
，其中最典型的就是用自己的生日！这样就让一些不法之徒有机可乘，他们可以通过别人
申请邮箱或者注册网站时填写的详细资料（例如chinaren校友录的成员地址），知道拥有
此手机号码用户的生日、QQ号码、家里电话、甚至身份证号码，这样就可以猜测sohu短信
服务的密码。虽然sohu对此种暴力破解方法有次数的限制，但一旦成功，后果同样是不堪
设想的。 

解决办法： 
在网络时代里，我们每个人都应有一些防范意识。本人就此漏洞提出些许建议，如有不足
或错误之处请大家指正。 
1．如果你从没注册过sohu的短信服务，有一天突然收到一条短信，上面写着“欢迎使用搜
狐短信，您的密码是******，登陆之后请修改密码。搜狐短信是收费服务，请保管好密码
。”那么肯定是有人想整你了。如果过后你又收到“您的搜狐短信确认码是******，请立
即修改密码。”啊！那你也许已经遭遇到漏洞二所说的困境了。我觉得这时最好的办法就
是用普通电话拨打13800138000来挂失你的手机。（如果你有SIM卡的密码，过后可以，不
用缴纳任何费用。本人未确认过是否这样就不会从解除挂失后的手机里再扣除修改密码所
花费用，但这可能是唯一的方法。） 
2．如果你注册过sohu的短信服务，就会直接收到第二条短信，这时你同样可以采取挂失的
方法。其次，可以提醒大家的是，当你用完sohu短信服务以后可以点击“注销帐号”（好
像注销是不花钱的，如图3）。等到以后还需使用时，再注册一遍（反正注册是免费的）。
这样可以提前知道自己是否已经被盯上。 
3．用户自行修改后的密码不应是其他任何人可能知道的，要尽量复杂些。 
4．不要轻易将手机借给别人，或将手机号码泄露给不熟悉的人。 
5．如果没有特殊需要（如抽取大奖等，哈哈……），注册任何网站的时候，书写的详细资
料一定要尽可能的少，做好一切防黑措施！ 
6．没事的时候多查询手机余额，以免自己处于过分被动状态（反正13800138000是免费的
，嘻嘻^_^）。 

用户的防范当然是必要的，但是最好、也是最彻底的解决办法就是sohu公司能够就此问题
进行纠正，这样做对于手机用户，以及企业形象都有好处。本人也就此提出几点建议，望s
ohu公司采纳并迅速改正！ 
1．注册时，在同意协议以后，免费发送一个确认码给手机用户，只有用户正确输入此确认
码才能成为真正用户。而且5分钟之内，不对同一用户再次发送确认码。（也为sohu省点儿
钱啊！） 
2．在注册的表单中让用户填入提示问题及答案，用于发送修改密码短信之前让用户填写，
输入正确后再发送密码短信。而且同样是5分钟之内，不对同一用户再次发送密码短信。（
sohu啊，最好那5角钱就甭收了。TOM的修改密码服务就是这样做的！） 
3．每位用户发送短信或者是铃声、图片等信息后，自己的手机都会免费接收到一个类似“
**信息已发送给某某手机号码”这样的信息；或者尽快开通 “帐务查询”服务。以方便用
户了解自己以前所发送过的任何信息，以及接受对象。 

我写本篇文章的目的不仅是希望sohu这个门户网站改正此漏洞，从而为广大sohu用户带来
更好、更完善的服务，同时还希望广大 “新新人类们”能提高自身的网络知识和防范意识
。除此以外没有其它什么恶意，毕竟大家都希望我们喜欢的sohu和我们自身都能够更加完
美！不是吗？ 

--
╭⌒╮ -¤- ╭╭ ⌒╮ 经风雨 见世面 
╰-----╯ 读万卷书 走万里路 识万种人 
’,’,’’,’,’’,  人争一口气，佛争一柱香，但拋痴嗔心，一苇渡长江 

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.247.109]