欧加短信数据库漏洞的 PoC 成品,测试了一下 ColorOS 15 也会中招
但是,只影响 ASCII 字符,中文和西里尔文短信测试均无法获取到短信完整内容(图为俄语短信,只能获取到其中包含的 ASCII 部分)
从原理上来讲,漏洞为单字符遍历获取,而 Unicode 通常占两至三个字符(中文占三个字符),如果强行遍历多字符,会导致内容顺序错乱,无法获取正确内容
即使是纯数字的验证码短信,由于漏洞无法接收新短信通知,只能不断轮询遍历数据库,性能极其低下。且验证码有效窗口期过短,很难判断获取到的验证码是否可用,也很难辨别内容是否为验证码、是什么平台的验证码
所以,该漏洞几乎无法对非英文区的用户造成实际影响,这些用户无需在意该漏洞
