漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0125221
漏洞标题:美团网旗下全系列安卓客户端(团购,外卖,商家)升级过程存在缺陷,可被中间人攻击利用植入木马
相关厂商:美团网
漏洞作者: 内谁
提交时间:2015-07-07 19:07
修复时间:2015-10-07 15:30
公开时间:2015-10-07 15:30
漏洞类型:非授权访问/认证绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认,细节仅向厂商公开
2015-07-12: 细节向第三方安全合作伙伴开放
2015-09-02: 细节向核心白帽子及相关领域专家公开
2015-09-12: 细节向普通白帽子公开
2015-09-22: 细节向实习白帽子公开
2015-10-07: 细节向公众公开
简要描述:
RT
详细说明:
美团旗下APP(安卓端,下同)在升级过程中,校验过程不严格,可以导致被中间人利用,分别如下:
1、团购:
POST地址为:http://api.meituan.com/combo/v2/combo.json……
启动后自动触发这个升级过程,POST包很大,经过分析,仿照正常Response,制作一个假包,并修改数据应答头部以及MSID字段、isUpdated字段、versionname字段、appurl字段即可。
当然如果想诱导客户端点击更新按钮,也可以伪造本地更新的日志,这个就不多说了,下面的两款也是一样。
值得说明的是,美团旗下的APP均发现了类似强制升级的字段(forceupdate),将其置为true,可造成客户端必须更新,否则无法使用的情况。
2、外卖,POST地址为:http://api.waimai.meituan.com/api/v6/app/innercheckupdate……
启动后自动触发升级过程,需要修改的有appCode字段(这个要和版本号相同XX.XX.XX格式),flag字段,appVersion字段以及url字段,和团购一样,具有forceupdate字段,以及更新日志(description字段),修改后,即可实现攻击。
3、商家,GET地址为:http://www.meituan.com/api/v2/appstatus……
同样是启动后自动触发升级过程,需要修改的基本和团购相同,就不多说了,看图就好了。
漏洞证明:
修改后的数据包截图:
1、美团团购(红色部分为要对应请求包修改的部分,还上传了IMEI等信息,打码……):
2、美团外卖(要修改的部分一目了然):
3、美团商家(要修改的部分一目了然):
劫持会话后造成的结果,截图:
1、美团团购:
2、美团外卖:
3、美团商家:
修复方案:
1、修改升级协议
2、校验升级文件
版权声明:转载请注明来源 内谁@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-07-09 15:28
厂商回复:
问题确认,感谢您对美团安全做出的贡献!
最新状态:
暂无