漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020147
漏洞标题:如果你手机丢了,你觉得会损失了什么?
相关厂商:腾讯
漏洞作者: whitemonty
提交时间:2013-03-16 14:38
修复时间:2013-03-19 13:07
公开时间:2013-03-19 13:07
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-16: 细节已通知厂商并且等待厂商处理中
2013-03-19: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
如果你手机丢了,你觉得会损失了什么?
可能你觉得手机本身的价值没什么,通讯录才是重要的
在偶年幼无知的时候……觉得手机丢了,QQ也会丢了
但是,还是在偶年幼无知的时候,发现……手机丢了,也许会欲哭无泪!
想像一下,如果你现在手机丢了,你会损失什么?
欢迎基友们,各种诡异答案
详细说明:
现在网上各种账号一般都有跟手机绑定
而且手机的权限很高很高……高不胜寒
看到这里,也许你们已经知道了是怎么回事了
也许你们评估过这个问题
但是我觉得……非常有必要对问题进行整改!
因为每天都会有人丢手机,就像每天的出生率和死亡率一样,一直不为0
而手机丢了之后,
有多少人会马上把手机号码挂失,
又有多少人会马上对自己的网络账号与手机相关的账号进行处理?
好吧,就算你有这个意识,但当你找到电脑进行各种处理时
你会比有备而来的小偷速度快,准,狠???
select money from your 财付通 where 手机丢了 = ture and 手机上有QQ号码 = ture and qq,财付通与手机绑定 = ture
想像一下,如果你现在手机丢了,你会损失什么?
(1)
经过测试,QQ绑定手机后,只要发一条短信就能直接修改密码,没有其他任何二次认证。
这比手机明文存储密码还恐怖!
因为如果只是手机明文存储密码而已,那么手机丢了,把密码修改了,可能没事了
但是QQ绑定了手机,手机丢了,你的QQ除了可能被别人登录之外,
你日久生情的QQ还可能不是属于你的了
因为你的QQ绑定的手机号码可能会被更换了
(2)
如果你的财付通如果也用手机绑定了……反正腾讯会建议绑定
那么,通过忘记密码的修改密码步骤,有手机验证码,就能修改财付通密码(默认和QQ密码一样)和支付密码
此时如果你的财付通的有余额的话,那么它也不属于你的了
(3)
如果你的财付通上还有绑定着各种银行卡的快捷支付,腾讯各种优惠活动鼓励用户绑定快捷支付,绑定的卡越多,优惠越多(一般是送现金券),然后也会死得越壮烈……如果手机丢了!
因为登录密码有了,支付密码有了,快捷支付的短信验证也妥妥的!
(PS:支付宝也有类似问题,如果支付宝账号采用手机号码的话,财付通也可以用手机注册……其实好多平台都存在这个问题)
漏洞证明:
(1)忘记密码--忘记密保问题--通过手机找回密码
(2)一条短信搞定QQ密码……足足花了偶十分钱!
(3)财付通登录密码和支付密码也妥妥的
开始支付吧,骚年们!
手机在手,天下我有!
在这个屌丝逆袭的时代,果断拿起旁边高富帅的手机
进入支付热线吧!
修复方案:
认证时,不应该把手机认证作为一个万能的key
建议采用多重认证,方法繁多:
如手机认证的同时也需要输入密保问题,或者其他申诉的条件
也可采用双手机号码验证,主号码有权发出修改密码指令,但需要副号码(如父母手机)确认,但副号码只有确认权限,无发出修改密码指令的权限。
降低安全风险,往往要以牺牲方便快捷的操作为代价!
也许你们评估过这个问题了
但是我觉得……非常有必要对问题进行整改!
因为如果手机落入恶意使用者手里,
漏洞利用难度低,危害高。(相比于通过利用通讯录里面的联系人来进行诈骗)
好了!到了吃早餐的时间了……(非漏洞修复必须步骤,是偶要去吃早餐罢了)
码了这么多字,没功劳也有苦劳吧,没苦劳也有“咸酸劳”了吧!
版权声明:转载请注明来源 whitemonty@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-03-19 13:07
厂商回复:
非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。
漏洞Rank:5 (WooYun评价)
最新状态:
暂无