当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020147

漏洞标题:如果你手机丢了,你觉得会损失了什么?

相关厂商:腾讯

漏洞作者: whitemonty

提交时间:2013-03-16 14:38

修复时间:2013-03-19 13:07

公开时间:2013-03-19 13:07

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-16: 细节已通知厂商并且等待厂商处理中
2013-03-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

如果你手机丢了,你觉得会损失了什么?
可能你觉得手机本身的价值没什么,通讯录才是重要的
在偶年幼无知的时候……觉得手机丢了,QQ也会丢了
但是,还是在偶年幼无知的时候,发现……手机丢了,也许会欲哭无泪!
想像一下,如果你现在手机丢了,你会损失什么?
欢迎基友们,各种诡异答案

详细说明:

现在网上各种账号一般都有跟手机绑定
而且手机的权限很高很高……高不胜寒
看到这里,也许你们已经知道了是怎么回事了
也许你们评估过这个问题
但是我觉得……非常有必要对问题进行整改!
因为每天都会有人丢手机,就像每天的出生率和死亡率一样,一直不为0
而手机丢了之后,
有多少人会马上把手机号码挂失,
又有多少人会马上对自己的网络账号与手机相关的账号进行处理?
好吧,就算你有这个意识,但当你找到电脑进行各种处理时
你会比有备而来的小偷速度快,准,狠???
select money from your 财付通 where 手机丢了 = ture and 手机上有QQ号码 = ture and qq,财付通与手机绑定 = ture
想像一下,如果你现在手机丢了,你会损失什么?
(1)
经过测试,QQ绑定手机后,只要发一条短信就能直接修改密码,没有其他任何二次认证。
这比手机明文存储密码还恐怖!
因为如果只是手机明文存储密码而已,那么手机丢了,把密码修改了,可能没事了
但是QQ绑定了手机,手机丢了,你的QQ除了可能被别人登录之外,
你日久生情的QQ还可能不是属于你的了
因为你的QQ绑定的手机号码可能会被更换了
(2)
如果你的财付通如果也用手机绑定了……反正腾讯会建议绑定
那么,通过忘记密码的修改密码步骤,有手机验证码,就能修改财付通密码(默认和QQ密码一样)和支付密码
此时如果你的财付通的有余额的话,那么它也不属于你的了
(3)
如果你的财付通上还有绑定着各种银行卡的快捷支付,腾讯各种优惠活动鼓励用户绑定快捷支付,绑定的卡越多,优惠越多(一般是送现金券),然后也会死得越壮烈……如果手机丢了!
因为登录密码有了,支付密码有了,快捷支付的短信验证也妥妥的!
(PS:支付宝也有类似问题,如果支付宝账号采用手机号码的话,财付通也可以用手机注册……其实好多平台都存在这个问题)

漏洞证明:

(1)忘记密码--忘记密保问题--通过手机找回密码

1.png


(2)一条短信搞定QQ密码……足足花了偶十分钱!

2.png


(3)财付通登录密码和支付密码也妥妥的

3.png


开始支付吧,骚年们!
手机在手,天下我有!
在这个屌丝逆袭的时代,果断拿起旁边高富帅的手机
进入支付热线吧!

修复方案:

认证时,不应该把手机认证作为一个万能的key
建议采用多重认证,方法繁多:
如手机认证的同时也需要输入密保问题,或者其他申诉的条件
也可采用双手机号码验证,主号码有权发出修改密码指令,但需要副号码(如父母手机)确认,但副号码只有确认权限,无发出修改密码指令的权限。
降低安全风险,往往要以牺牲方便快捷的操作为代价!
也许你们评估过这个问题了
但是我觉得……非常有必要对问题进行整改!
因为如果手机落入恶意使用者手里,
漏洞利用难度低,危害高。(相比于通过利用通讯录里面的联系人来进行诈骗)
好了!到了吃早餐的时间了……(非漏洞修复必须步骤,是偶要去吃早餐罢了)
码了这么多字,没功劳也有苦劳吧,没苦劳也有“咸酸劳”了吧!

版权声明:转载请注明来源 whitemonty@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-19 13:07

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

漏洞Rank:5 (WooYun评价)

最新状态:

暂无