当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092180

漏洞标题:MX4 PRO手机访客模式设计不当可导致未授权访问图片隐私

相关厂商:魅族科技

漏洞作者: 兜兜揣肉包

提交时间:2015-01-16 11:34

修复时间:2015-03-02 11:36

公开时间:2015-03-02 11:36

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-16: 细节已通知厂商并且等待厂商处理中
2015-01-16: 厂商已经确认,细节仅向厂商公开
2015-01-26: 细节向核心白帽子及相关领域专家公开
2015-02-05: 细节向普通白帽子公开
2015-02-15: 细节向实习白帽子公开
2015-03-02: 细节向公众公开

简要描述:

我抢了很久的MX4 PRO,那时只有16G的,略坑。但是手机确实不错
可能我手机很久没换了,到时后发现有很多功能特别棒。其中“访客模式”也很贴心,
不仅可以防止“熊孩子”,还可以提防女朋友哦,只是我还没有女朋友。郁闷。
问题就出现在访客模式里

详细说明:

手机:MX4 PRO(我相信和系统有关,和硬件无关)
系统:截至2015年1月16日,最新的Flyme OS 4.1.1.1A
首先在“设置”--“指纹和安全”--“访客模式”,开启访客模式,设置访客密码
如何设置呢,首先禁用所有的第三方应用,系统自带的应用只要禁用“文档”和“图库”
这样做就是防止其他人查看我们的图片和文件,(实际生活中会有第三方如见可以查看到的
比如一些第三方的图片查看软件和文件浏览器,比如QQ自带的就有文件浏览功能和图片查看功能,这里我们只讨论系统自带的软件,不讨论第三方软件,大家使用该功能时需要自行测试第三方软件)。按理说,排除第三方软件不谈,所有系统软件都该屏蔽我手机的图片和文件的查看请求的。

QQ图片20150116104422.jpg


然后手机锁屏,通过访客密码进入访客模式。
再试图通过留下来的软件打开浏览手机里的文件和图片。
通过所有可能的软件来访问:“短信”,“相机”,“邮件”,“语音助手”以及截图后的下拉菜单访问均失败

QQ图片20150116100501.jpg


语音助手打开失败

QQ图片20150116100451.jpg


相机访问失败

QQ图片20150116100457.jpg


下拉菜单访问失败
以上访问都失败了,失败的原因的我们都是调用“图库”这个软件来查看图片的。我在想,可不可以绕过呢?最后被我找到了----“电话”
在“电话”里点击“新建联系人”

QQ图片20150116105655.jpg


点击默认头像,选择“选择照片”

QQ图片20150116101207.jpg


然后大家都随便看图片吧,我试了,都可以查看的。

QQ图片20150116101229.jpg


通过最后一张图的界面应该可以肯定,不是调用的“图库”

漏洞证明:

手机:MX4 PRO(我相信和系统有关,和硬件无关)
系统:截至2015年1月16日,最新的Flyme OS 4.1.1.1A
首先在“设置”--“指纹和安全”--“访客模式”,开启访客模式,设置访客密码
如何设置呢,首先禁用所有的第三方应用,系统自带的应用只要禁用“文档”和“图库”
这样做就是防止其他人查看我们的图片和文件,(实际生活中会有第三方如见可以查看到的
比如一些第三方的图片查看软件和文件浏览器,比如QQ自带的就有文件浏览功能和图片查看功能,这里我们只讨论系统自带的软件,不讨论第三方软件,大家使用该功能时需要自行测试第三方软件)。按理说,排除第三方软件不谈,所有系统软件都该屏蔽我手机的图片和文件的查看请求的。

QQ图片20150116104422.jpg


然后手机锁屏,通过访客密码进入访客模式。
再试图通过留下来的软件打开浏览手机里的文件和图片。
通过所有可能的软件来访问:“短信”,“相机”,“邮件”,“语音助手”以及截图后的下拉菜单访问均失败

QQ图片20150116100501.jpg


语音助手打开失败

QQ图片20150116100451.jpg


相机访问失败

QQ图片20150116100457.jpg


下拉菜单访问失败
以上访问都失败了,失败的原因的我们都是调用“图库”这个软件来查看图片的。我在想,可不可以绕过呢?最后被我找到了----“电话”
在“电话”里点击“新建联系人”

QQ图片20150116105655.jpg


点击默认头像,选择“选择照片”

QQ图片20150116101207.jpg


然后大家都随便看图片吧,我试了,都可以查看的。

QQ图片20150116101229.jpg


通过最后一张图的界面应该可以肯定,不是调用的“图库”

修复方案:

希望新的固件更新早点来,对得起旗舰级的名声,同时修复bug

版权声明:转载请注明来源 兜兜揣肉包@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-16 15:41

厂商回复:

非常感谢您的反馈,已转交给开发人员处理。

最新状态:

暂无