导读:乌云在漏洞公告中称,运营商为了给客户提供方便,设置了免收取流量费的白名单,当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费,若漏洞扩大会使运营商损失过大。乌云漏洞报告平台运营人员孟卓指出,通过提交的信息来看,提交者在网上看几个视频应该会产生几十兆的流量,但通过运营商流量查询的软件,可以做到让流量使用量为零。
日前,国内漏洞报告平台乌云在一则漏洞公告上称,中国移动、中国联通和中国电信存在流量计费系统漏洞,用户可以利用这一漏洞完成免费上网,这一漏洞已经存在一段时间,目前尚不确定是否有人借此牟利。
乌云在漏洞公告中称,运营商为了给客户提供方便,设置了免收取流量费的白名单,当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费,若漏洞扩大会使运营商损失过大。乌云漏洞报告平台运营人员孟卓指出,通过提交的信息来看,提交者在网上看几个视频应该会产生几十兆的流量,但通过运营商流量查询的软件,可以做到让流量使用量为零。
有运营商内部人士透露,这种情况实际上是计费指令或计费信息存在漏洞,有人在传递信息过程中修改计费指令,错误的指令被发送给计费系统,就会导致上述结果,但这并不是计费系统的问题,若计费系统存在漏洞会产生很严重的后果;目前在运营商后台并没有发现这样的案例,运营商也已对计费信息这一单元进行了优化。
对此,电信分析师付亮认为,其实这个漏洞就是利用了一些特殊应用的免费通道,比如彩信,发送彩信并不会收取流量费,有人便模拟这个通道使用免费流量,但是这个模拟的空间是有限的;同时,由于漏洞比较小,普通人不会操作,由漏洞导致的损失对于运营商来说并不算大。
流量计费