以往時常曝光運營商“流量偷跑”的情況，不過近日卻可能出現了客戶免費多用流量。日前，國內烏云漏洞平臺就曝光了中國移動、聯通和電信三大運營商共同存在的一項流量計費漏洞，也就是說客戶就算使用的流量超出了套餐，也可利用該漏洞繼續免費使用超出的流量。

 [[160948]]

據悉，烏云漏洞報告平臺上的作者小極白客發現了中國聯通、中國移動、中國電信三大運營商流量計費系統漏洞，有些客戶會對此漏洞加以利用從而使用遠遠超出其套餐的流量，倘若漏洞擴大，會使運營商損失過大。

根據烏云平臺對該漏洞的介紹，漏洞的成因主要是運營商為了給客戶提供方便，提供了優惠政策，如：接收彩信、登陸掌廳免除流量費以及免收取流量費的其他業務。

運營商的計費系統為了區分用戶使用的是免流量業務還是正常訪問互聯網會把這些免流服務的網址加入到白名單，當計費系統檢測到用戶訪問的是白名單中的網址或接收彩信時就不會進行扣費。

問題出在檢測上，當用戶訪問互聯網時，向服務器發送一條http請求頭，請求頭中包含了訪問的網址、UA、網絡協議、主機(host)、Cookie、來源地址、文件類型等信息。計費系統通過檢測請求頭來分辨用戶訪問的是不是白名單中的網址或者是接收彩信。但是計費系統檢測的是用戶發來的請求信息，這條信息是來自于用戶的，通過自定義該信息可以達到欺騙計費檢測達到免流量上網的目的。

據悉，目前該漏洞已經通知廠商并且等待廠商處理中。