漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-046608
漏洞标题:小米账户设置未添加对原绑定邮箱、手机验证的功能
相关厂商:小米科技
漏洞作者: 路人甲
提交时间:2013-12-21 11:29
修复时间:2013-12-24 10:56
公开时间:2013-12-24 10:56
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-12-21: 细节已通知厂商并且等待厂商处理中
2013-12-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
详细说明:
在获得他人的小米账号和密码后,进入小米账户设置页,在不验证原绑定邮箱和手机前提下就可以把原绑定邮箱和手机号修改成任意的邮箱和手机号。并且原邮箱地址和手机号没有打码,会造成信息泄露。
小米账户页面有进入小米论坛、MIUI论坛、小米云服务、米聊、小米VIP认证等入口,很容易得到该用户的照片、短信、通讯录和他的大概位置(假设该用户在小米手机里开启了“找回手机”选项)。
漏洞证明:
1、登入小米账户页面:假如
2、选择手机号码后的“更改”
这步根本没有验证原手机号
3、输入新的任意的手机号码
点击下一步,小米把验证码直接发到新的手机上,填写好验证码就可以完成新手机号的绑定,不需验证原手机就可以更改绑定的手机号。
同理,更改绑定邮箱也是轻而易举
a、点击邮箱地址后的“更改”
b、输入新的邮箱地址,系统直接把验证码发到新的邮箱中
c、在新的邮箱里点击带有验证功能的链接后就完成新邮箱的绑定。
在非常容易地修改原绑定手机和邮箱后,这个账号从此就不属于你了。
修复方案:
对绑定的邮箱和手机号修改时需对原绑定邮箱和手机号进行安全验证。
如果原邮箱或手机号作废,那么加入新的办法,如:通过密保问题更改、通过备用安全邮箱或手机号更改、通过之前绑定的安全令卡更改等方法实现。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-12-24 10:56
厂商回复:
小米账户设置已添加对原绑定邮箱、手机验证的功能,感谢您对小米科技的支持。故忽略
最新状态:
暂无