Shell's Home

Dec 30, 2012 - 1 minute read - Comments

移动的一点漏洞

今天支付宝的那个问题,支付宝的人和我说。

猜到就是手机保存账户名可以找回密码的问题。。对于快捷用户明年会要求手机+证件找回密码,减低200以上的资损风险。所以现在我客户端使用后都删除用户名纪录,为了安全。那个token的想法挺好的!

我就考虑,是否可以通过手机获得身份证呢?

首先,利用手里的手机,得到自己的手机号。然后查询所在地,在对应的移动网站上(例如上海移动)找回密码,然后登录移动网站。进入个人信息管理,需要手机验证码。输入验证码,可以看到部分身份证。包括头4位和尾4位。普通身份证是18位的,分组方式6+8+4。隐藏掉的10位中有8位是生日,一般手机里都能找到,并不困难。

因此,实际需要得到的就是2位。而这两位又不是任意的,和个人出生地有关。具体到我的身份证上,有了前四位后,两位只有17种可能。我看了其他一些人的情况,运气差的情况下,这两位只有一两种可能,例如1405,山西省晋城市,只有00/01/02。全试一遍就可以了。

更新:同事反应,联通的网站更二,直接就显示了完整身份证。。。

更新2:同样漏洞,在招商银行的手机应用上也爆了出来。。。