|
核心提示:以往时常曝光运营商“流量偷跑”的情况,不过近日却可能出现了客户免费多用流量。日前,国内乌云漏洞平台就曝光了中国移动、联通和电信三大运营商共同存在的一项流量计费漏洞,用户可以利用该漏洞从而使用远远超出其套餐的流量。
乌云平台公布的漏洞公告截图 据中新网IT频报道,乌云漏洞报告平台上的作者小极白客发现了中国联通、中国移动、中国电信三大运营商流量计费系统漏洞,有些客户会对此漏洞加以利用从而使用远远超出其套餐的流量,倘若漏洞扩大,会使运营商损失过大。 根据乌云平台对该漏洞的介绍,漏洞的成因主要是运营商为了给客户提供方便,提供了优惠政策,如:接收彩信、登陆掌厅免除流量费以及免收取流量费的其他业务。 乌云在上述漏洞公告中称,运营商为了给客户提供方便,设置了免收取流量费的白名单,当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。 运营商的计费系统为了区分用户使用的是免流量业务还是正常访问互联网会把这些免流服务的网址加入到白名单,当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。 问题出在检测上,当用户访问互联网时,向服务器发送一条http请求头,请求头中包含了访问的网址、UA、网络协议、主机(host)、Cookie、来源地址、文件类型等信息。计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息,这条信息是来自于用户的,通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。 乌云在公告中还称,若漏洞扩大,会使运营商损失过大。独立电信行业分析师付亮对中新网IT频道表示,电信运营商计费系统可能有BUG,上述情况也有可能存在,但这不是大漏洞,影响不大。 据悉,目前该漏洞已经通知厂商并且等待厂商处理中。 流量计费如何生成? 很多人都不知道运营商是如何计费的,运营商在确保流量计费准确性方面大致有三个环节。第一个环节:流量话单生成,该环节所使用的通信设备主要来自华为、爱立信、中兴等设备厂商,各厂商产品在投入市场前,均必须通过工信部的官方入网检测。第二个环节:流量计费,运营商会定期对自身的流量计费进行核查,另外工信部也会对上述两个环节进行稽查,保证流量计费的准确。第三个环节:用户上网流量轨迹记录可查,在充分保护和尊重消费者隐私的情况下,运营商可向流量争议用户出示“流量详单”。 另外,运营商的计费系统为了区分用户使用的是免流量业务还是正常访问互联网,系统会把这些免流服务的网址加入到白名单,当计费系统检测到用户访问的是白名单中的网址或接收彩信时就不会进行扣费。而此次曝出的漏洞实际上就是用户自行发送的请求信息骗过了系统的计费检测,把请求用户划归到了白名单中,致使用户可免费使用流量。 据介绍,当用户访问互联网时,向服务器发送一条http请求头,请求头中包含了访问的网址、UA、网络协议、主机(host)、Cookie、来源地址、文件类型等信息。计费系统通过检测请求头来分辨用户访问的是不是白名单中的网址或者是接收彩信。但是计费系统检测的是用户发来的请求信息,这条信息是来自于用户的,通过自定义该信息可以达到欺骗计费检测达到免流量上网的目的。 既然存在着这么大的漏洞,运营商为什么不加以改进呢?那是因为中国移动、联通和通信都有已经成熟的流量计费系统,而且这些系统都过于庞杂,想要进行大的改革难免会困难重重,而每一个系统都是存在一定的漏洞的。不过对于消费者而言,能够使用免费流量还是挺过瘾的,不知道运营商会采取何种补救措施。(综合中新网、中国网、凤凰科技报道) |
