独家:LG U+ IMSI漏洞致用户面临钓鱼攻击风险
全球最大开源社区GitHub上的一则帖子引发安全警报:韩国LG U+用户正面临语音钓鱼和短信钓鱼风险!该公司自13日起已启动大规模SIM卡更换服务,起因竟是其手机号码与国际移动用户识别码(IMSI)直接绑定的设计漏洞。
15日,匿名安全专家在GitHub上传演示视频,公开如何通过伪基站(IMSI捕捉器)收集LG U+用户的IMSI并反推手机号码。专家直言:“此举旨在揭露韩国主要电信运营商LG U+的严重安全漏洞。尽管该公司以‘安全问题’为由大规模换卡,却未给出具体解释,导致绝大多数用户根本不知道自己身处险境!”
专家进一步揭露:由于LG U+的IMSI系统将手机号码直接映射至IMSI,黑客仅用简易伪基站即可捕获周边设备的IMSI及对应手机号。这意味着用户可能遭遇精准语音钓鱼和短信钓鱼攻击,若黑客掌握特定号码,甚至能实时追踪用户物理位置!专家疾呼:“LG U+必须停止用模糊的企业话术掩盖问题,向用户透明交代!”并呼吁政府介入追责。
同日,国内IT论坛一名自称安全从业者的用户发文指出:“LG U+事件的核心在于他人能实现实时定位追踪。手机号与IMSI双重曝光,为跟踪骚扰等恶性犯罪提供了可乘之机。”此前8日,出席首尔COEX .HACK会议的KAIST教授金容大也曾发布演示视频,证实即使无需专业技术,也能在IMSI泄露争议中精确定位LG U+用户。
安全界早已多次质疑LG U+的IMSI设计缺陷:其IMSI在国码(450)和运营商代码(06)后直接拼接用户手机号,形成“450-06-手机号”的序列,导致IMSI一经捕获,手机号立即暴露。而其他运营商均采用随机数生成的IMSI。更令人不安的是,市面上的伪基站设备竟唾手可得!
为应对危机,LG U+已推出免费SIM卡更换及升级服务。截至13日,相关业务办理量已达181,009件。这场关乎千万用户隐私的保卫战,究竟能否真正堵住漏洞?全民都在等待答案!
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kx/16732.html
