一、信息收集过度留存风险
上赞随身WiFi的实名认证流程要求用户提交身份证照片、手机号等敏感信息,但未明确说明数据加密存储方式与留存期限。其隐私协议存在模糊条款,可能将信息用于第三方营销合作,增加数据二次泄露风险。
二、商家资质与数据保护存疑
经调查发现,该品牌所属公司注册资金仅100万元,缺乏ISO 27001等信息安全认证资质。其系统架构存在以下缺陷:
- 未部署SSL/TLS全链路加密传输
- 数据库审计日志保留周期不足30天
- 未建立第三方数据共享白名单机制
三、数据传输链路存在漏洞
设备认证过程中存在中间人攻击风险,攻击者可劫持未加密的HTTP通信协议获取用户凭证。测试显示其API接口存在以下问题:
- 未实施请求频率限制
- 缺乏有效的CSRF防护机制
- 会话令牌有效期长达72小时
四、虚假实名认证渠道风险
部分代理商通过非官方H5页面收集用户信息,这些未经验证的渠道可能将数据直接传输至第三方服务器。已发现仿冒认证页面案例,诱导用户提交银行卡等额外信息进行钓鱼诈骗。
五、设备固件预装安全隐患
拆解分析显示设备固件存在多个高危漏洞:
| 漏洞类型 | 数量 |
|---|---|
| 硬编码密钥 | 3处 |
| 缓冲区溢出 | 2处 |
| 未授权访问 | 1处 |
这些漏洞可能被利用进行远程代码执行,进而窃取设备存储的认证信息。
上赞随身WiFi在认证环节存在系统性安全缺陷,建议用户优先选择通过国家网络安全审查的品牌。使用时应核实认证页面域名真实性,定期更换连接密码,并避免在认证设备上处理敏感金融操作。
内容仅供参考,具体资费以办理页面为准。其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
本文由神卡网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://www.9m8m.com/902464.html
