漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-066254
漏洞标题:360安全卫士锁屏权限绕过漏洞
相关厂商:奇虎360
漏洞作者: wbscn
提交时间:2014-06-26 10:30
修复时间:2014-08-10 10:32
公开时间:2014-08-10 10:32
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-26: 细节已通知厂商并且等待厂商处理中
2014-06-27: 厂商已经确认,细节仅向厂商公开
2014-07-07: 细节向核心白帽子及相关领域专家公开
2014-07-17: 细节向普通白帽子公开
2014-07-27: 细节向实习白帽子公开
2014-08-10: 细节向公众公开
简要描述:
360安全卫士锁屏在个别手机,权限限制不严格,导致绕过锁屏限制,进入手机桌面。
详细说明:
在华为系列手机中安装360安全卫士,并使用其安全锁屏,该锁屏未对任务栏进行屏蔽,可以点击任务栏,使下拉任务栏出现,在任务栏中可以进行手机系统设置,在设置中可关闭锁屏,点击完成后。可指直接进入手机桌面。而不需要再进行手势密码的输入。
测试机型:华为meta2-c00
漏洞证明:
修复方案:
对任务栏的点击进行屏蔽!
版权声明:转载请注明来源 wbscn@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-06-27 19:52
厂商回复:
由于安卓系统限制所致,包括360锁屏在内的所有锁屏APP不是系统锁屏,作为普通App无法得到更高系统权限,所以在部分机型上无法保证绝对的安全性。暂时无法彻底解决。
有些用户比较依赖通知栏功能,希望在锁屏状态也可以随时查看,因此360锁屏默认不会隐藏通知栏。
如果用户有相关安全需要,可以执行以下操作:
1,如果用户不希望显示通知栏,可以在360锁屏设置—>个性化设置 中 勾选全屏显示,则会在锁屏状态隐藏通知栏。
2,用户可在360锁屏的设置--安全设置 中勾选启动安全模式。
开启安全模式后,如果用户在通知栏点击设置或其他应用的通知提醒,跳出锁屏界面后,会在短时间内自动跳回360锁屏界面。并有toast显示:360锁屏发现您正试图绕过正常解锁,您将很快回到锁屏界面。 这个自动跳回的时间间隔和手机性能有关,部分手机可能间隔略长。
3, 用户如果不想在锁屏状态下按Home键回到桌面,需要手动把360锁屏设置为系统默认桌面。这个操作在360锁屏设置—锁定Home键中操作。
执行过以上3条操作后,绝大部分手机就可以保证锁屏不被绕过了。
最新状态:
暂无