当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010063

漏洞标题:网易联系人助手Android客户端漏洞导致账号密码泄漏

相关厂商:网易

漏洞作者: Claud

提交时间:2012-07-24 00:03

修复时间:2012-09-07 00:03

公开时间:2012-09-07 00:03

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-24: 细节已通知厂商并且等待厂商处理中
2012-07-26: 厂商已经确认,细节仅向厂商公开
2012-07-29: 细节向第三方安全合作伙伴开放
2012-09-19: 细节向核心白帽子及相关领域专家公开
2012-09-29: 细节向普通白帽子公开
2012-10-09: 细节向实习白帽子公开
2012-09-07: 细节向公众公开

简要描述:

如题,可以获得账号密码。

详细说明:

在下列XML文件中:
/data/data/com.netease.ca/shared_prefs/config.xml
明文保存用户账户和密码。
其他Android软件在获得root权限后,可以读取该文件。

漏洞证明:

修复方案:

先提交这些吧。其他方面的,过一阵子再给你们做评估。

版权声明:转载请注明来源 Claud@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-07-26 15:46

厂商回复:

感谢您对网易的关注,该问题已经修复,新版本即将上线。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-24 00:24 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    Oh~~my~~god~~

  2. 2012-07-24 01:08 | circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)

    围观、

  3. 2012-07-24 07:14 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    我X,洞主这是要闹哪样!

  4. 2012-07-24 07:18 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @claud 这多洞是否都是同一个原因呢?泄露的账号密码是本人还是他人的?

  5. 2012-07-24 07:42 | Claud ( 普通白帽子 | Rank:161 漏洞数:18 | secmobi.com)

    @风萧萧 原因相同,一开始只看到一个,后来边发边看到新的,就成这样了。泄露自己的。确实是漏洞,OWASP Mobile TOP10之一。

  6. 2012-07-24 08:49 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    不会就是文明存储在手机上吧?或者加密?

  7. 2012-07-24 08:50 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @Jannock 如果这样的话,意义不是很大吧。

  8. 2012-07-24 08:50 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    东渚想进军网易了。?

  9. 2012-07-24 08:52 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    @Valo洛洛 各人认为了。。。不过这种应该算是安全风险,看有没有加密了。加密一下还可以。。

  10. 2012-07-24 08:59 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @Jannock 熟人作案或者手机中毒。。几率得有多小

  11. 2012-07-24 09:50 | Max ( 实习白帽子 | Rank:45 漏洞数:7 | When you see this sentence, I have been ...)

    @Jannock +1

  12. 2012-07-24 10:25 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @Valo洛洛 不能这么理解啊,手机病毒木马也很早就流行了。去年很轰动的Carrier IQ后门,手机出厂自带,据说是盗取了1亿多用户的信息。所以说软件厂商有必要保证用户数据的安全,即使是系统被攻破也无法获取有效的数据。这个,腾讯就做的狠好嘛!

  13. 2012-07-24 11:08 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Valo洛洛 @Jannock @Claud 这种东西很麻烦的,手机上为了方便一般都会保存密码,如果为了实现手机的特别登陆可能带来很大的成本,而且事实上某些协议还不支持加密的传输,譬如邮箱

  14. 2012-07-24 11:25 | Claud ( 普通白帽子 | Rank:161 漏洞数:18 | secmobi.com)

    @xsser 有其他方案,密码、密码哈希都可以不用存储在本地,比如网易的邮箱客户端。淘宝那边几个软件的方案更安全。本地缓存是程序员偷懒,“记住密码”就真去记住密码了。。

  15. 2012-07-24 11:25 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Claud 记住其他认证信息?

  16. 2012-07-24 13:45 | Claud ( 普通白帽子 | Rank:161 漏洞数:18 | secmobi.com)

    @xsser 嗯,现在很多客户端是本地保存cookie或者session id,加上失效期。严格地说这种也可以攻击,但困难一些,读取数据还需要root。此前Google预装的那几个软件被曝过这种洞。

  17. 2012-07-24 17:35 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Claud 这种方式+1

  18. 2012-09-07 17:35 | diroverflow ( 路人 | Rank:11 漏洞数:1 | dir buffer overflow)

    这个也算不上漏洞,有root权限什么不能干?把整个apk替换都可以