随着人们的生活质量不断提高，越来越多的普通公民有了度假休闲、长距离旅游、出国旅游的愿望，同时对出行的质量要求也不断提高。人们也开始更乐意选择便捷、舒适的民航作为出行方式。坐飞机，正渐渐成为寻常百姓的选择，尤其是航司可以提供比火车更便捷高效的购票与改签渠道，更是让百姓对其满意度与日俱增。但，所有的便利都具有两面性，航空公司的APP在提供给你便捷的体验的同时，也暗藏风险。倘若你到达机场准备登机时，被告知你已在航空APP上办理了改签手续，你会怎么想？

3月15日，嘶吼合作伙伴----胖猴实验室在东方航空股份有限公司推出的东方航空APP上发现了一个严重漏洞。通过这个漏洞，攻击者可以在用户未经许可的情况下更改用户账号密码、获取用户敏感信息并完全控制该账户。据相关资料表示，本漏洞将影响东方航空全量超7000万用户。

4月24日，嘶吼确认该漏洞现在已经修复，广大东方航空常旅客可以安心的做“空中飞人”了。

中国东方航空股份有限公司是一家总部位于中国上海的国有控股航空公司，是中国民航第一家在香港、纽约和上海三地上市的航空公司，在全球拥有7000多万的旅客量。据近几年东方航空发布的业绩报表显示，平均每年的营业收入都接近1000亿元，但不曾想到的是，他们在用户个人信息安全方面做的居然如此之差。

东方航空公司APP泄露用户隐私

胖猴实验室安全研究员在东方航空股份有限公司APP中发现了几个高危安全漏洞，其中，由于某登录入口处存在逻辑漏洞，可获得用户敏感信息，并进一步完全控制用户账户。在此基础之上，攻击者还可以使用受害者的会员积分兑换商品，如iPhoneX手机，或直接更改用户信息和行程，如取消或改签用户机票，致使受害用户行程严重受阻。如果未能及时处理该漏洞，那么将对东方航空的注册用户造成巨大损失。

漏洞详情

本漏洞实际危害为：在重置密码处进行利用，通过使用攻击者的手机号接收验证码，并使用该验证码替代原东方航空注册用户的验证码进行密码的修改，并进行登陆。

1.使用攻击者手机号获取验证码

攻击者在重置密码的页面，暂不输入身份信息，只输入攻击者自己的手机号，便可轻松获取到了一个有效的重置密码用的验证码。

2.输入受害者信息及验证码

攻击者在该页面将受害者信息（身份证件号码或东方航空12位数字帐号）输入，并使用刚刚获取的验证码。

3.点击验证，并进行密码重置

在相关验证信息填写结束后，点击验证，顺利进入下一页，进行密码修改。在输入新设定的密码，确认修改。密码修改成功。

4.使用受害者信息和新设定密码登陆账户

输入受害者信息及密码登陆，成功登陆

关于胖猴实验室

胖猴实验室(PwnMonkey Security Lab)专注于互联网和物联网的前沿安全攻防技术研究，拥有业界优秀的安全分析团队，核心成员均有多年从事安全研究的经验。在其相关的研究领域中，该实验室数次发现重大安全隐患并整理成安全风险报告提供给有关的企业和部门，及时阻止潜在安全问题的出现。

漏洞危害

据胖猴实验室安全研究员披露，通过这些漏洞可以轻而易举的获得用户敏感信息，包括：手机号、邮箱、常用联系人（用户名和身份证号）和全部飞行记录等，攻击者还可以取消或者更改航班信息，将积分兑换为商品。此外，通过常用联系人信息可以进一步扩大攻击范围，最终严重影响东方航空的所有用户。

受影响的版本

V7.0.7版本及其之前所有版本均受影响。

嘶吼建议

目前，用户自己尚且无法修复此漏洞，只能等厂商补救。幸运的是，一方面东方航空现已将该漏洞修复，另一方面，当有恶意人员更改自己账户密码时，受害者是能收到短信通知的。

目前还不清楚该漏洞是否被恶意利用，胖猴实验室在发现该漏洞后便将漏洞详情报告给了中国国家信息安全漏洞库(CNNVD)，希望CNNVD帮助东方航空尽快修复漏洞，保护用户隐私。另外，胖猴实验室强烈建议用户时刻关注自己的账号动态，如发现有人更改密码，及时通知相关各方。