近日，漏洞盒子技术团队在中国移动手机热点分享功能里，成功捕获漏洞一枚，利用该漏洞，任何连接你手机热点的人，都可以随意登录并操作你的移动邮箱和移动梦网。

中国移动作为中国最大的通信运营商，用户量多达八亿，该漏洞涉及中国移动海量的用户。

为了用户操作方便，移动139邮箱及移动梦网拥有免密登录的功能，即你用浏览器打开http://mail.139.com页面时会自动登录你的移动邮箱，无需做任何身份认证。

通过移动官网这一功能的说明，我们可以了解到：1、当处于中国移动网络中(GPRS、3G、4G)，可直接访问139邮箱。2、当处于非运营商网络中如WLAN中，139邮箱需要账号密码进行手工登录。

但是这样的设定却存在受攻击的可能：即恶意软件通过运营商网络直接访问139邮箱并进行任意操作，漏洞盒子团队为了验证此推测，特意写了一个APP，打开后可直接获取手机139邮箱的所有邮件，当连上移动手机的热点时，可直接访问热点手机的139邮箱并进行任意操作，同样，我们也可以登录用户的移动梦网。

据介绍，这个漏洞本身技术含量并不高明，也很容易修复，但因为该漏洞涉及海量用户，可以造成大量的个人信息泄露，隐患巨大。

(责任编辑：腰编辑)