漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-033560
漏洞标题:电信掌上营业厅任意手机号码话费账单查询
相关厂商:电信
漏洞作者: 不走的钟
提交时间:2013-08-05 21:37
修复时间:2013-09-19 21:38
公开时间:2013-09-19 21:38
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-05: 细节已通知厂商并且等待厂商处理中
2013-08-09: 厂商已经确认,细节仅向厂商公开
2013-08-19: 细节向核心白帽子及相关领域专家公开
2013-08-29: 细节向普通白帽子公开
2013-09-08: 细节向实习白帽子公开
2013-09-19: 细节向公众公开
简要描述:
电信掌上营业厅APP存在设计错误(本例仅测试平Android平台,IOS应该也相同,但未测试),导致可以任意查询其它手机号码的套餐使用情况、话费信息、历史账单等敏感信息。
详细说明:
从数据包内容推测,厂商为了易用性,让每个手机都使用了相同的默认的密码,根据此密码来进行身份认证,但这样设计存在较高的安全风险,很多用户甚至根本不知道存在默认密码,更不会去修改密码,因此只需要构造简单数据包即可查询任何人的资费信息。
仅给一个查询手机号码为18911111111,8月使用的话费额,代码如下:
漏洞证明:
修复方案:
手机用户群体较多,此类问题解决比较麻烦,如果单独设置密码,用户体验会非常差。类似问题网上有讨论使用MAC等手机信息做为绑定,可以提高安全性的同时带来易用性,但我个人觉得不妥当,理由如下:
1、收集手机MAC或其它敏感信息,并远程存放在服务器中,会涉及用户隐私;
2、MAC和其它信息同样可以修改,也不能从根本上解决安全问题。
个人建议仅共参考,可能考虑并不全面,建议如下:
1、用户第一次登录客户端,使用短信认证,登录成功后将seesion存在数据库中,并将有效时间设为超长(例如2-3个月),当用户在会话有效期内正常登录客户端后,继续延长有效时间。如果用户在2-3个月内使用过一次客户端,那么他每次都不需要输入密码。
2、部分用户可能很少使用此功能,可能很长时间才使用一次,例如超过3个月,那么这部分用户,可以使用短信认证,或者其它密码机制;
3、注意本客户端cookie安全性,防止seesion id被轻意泄露。
版权声明:转载请注明来源 不走的钟@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-08-09 22:16
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报处置。
rank 10
最新状态:
暂无