漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-041206
漏洞标题:腾讯qq android客户端一定条件下可导致信息泄露
相关厂商:腾讯
漏洞作者: jadore
提交时间:2013-10-27 20:00
修复时间:2013-10-30 10:43
公开时间:2013-10-30 10:43
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-10-27: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
用户的个人信息应该得到保护,在一定程度上说,即使本机本用户也仅仅可以从客户端来查看相关信息
详细说明:
腾讯手机qq android版对用户的数据库未做加密处理,用户不仅仅可以轻松查看自己qq上的好友,群及聊天记录。也可以查看其他人用自己手机登陆的其他号码的相关信息。
对于这个问题,首先来假设一下应用场景:
1.用户从客户端查看自身相关信息没问题,无法查看其他人用自己手机登陆且已退出并且未保存密码的qq的信息,这个逻辑是对的。但是android版的qq可以通过数据库,在不通过客户端的情况下就可以查看到自己qq的相关信息,以及其他人用自己手机登陆过的,且无需密码即可查看该qq的相关信息,从造成个人信息泄露
2.如果用户的手机丢失,那么该手机上登陆过的qq的相关信息即可被当前手机拥有者轻松获取
3.如果有恶意软件,或者通过浏览器漏洞,可以轻松获取到一台手机上的所有登陆过的qq的各种信息
4.当然还有其他未知的可能造成用户的个人的个人隐私的泄露
综上,我认为需要对相关数据库做加密处理
漏洞证明:
我们进入到手机qq的相关数据库的文件夹内,用sqlite3可以轻松打开其中的各个库与表
然后我们选择一个账号的db
我们发现可以轻松打开,并且选择其中的friends表
我们发现了这个在我手机上登陆过,但是我不知道密码的qq的详细好友信息
信息量很大!!!
然后我们在去看看聊天记录的表
然后我们将数据库导出,在本地测试依旧可以顺利打开
而我们对比腾讯在PC上的处理,明显觉得android上问题很大
修复方案:
作为社交软件,对相关敏感数据库还是做一下加密处理好些
版权声明:转载请注明来源 jadore@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-10-30 10:43
厂商回复:
非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。
最新状态:
暂无