当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011861

漏洞标题:各大银行ios手机银行客户端不能防护键盘记录

相关厂商:各大银行

漏洞作者: super480

提交时间:2012-09-07 09:37

修复时间:2012-10-22 09:38

公开时间:2012-10-22 09:38

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-09-07: 细节已通知厂商并且等待厂商处理中
2012-09-11: 厂商已经确认,细节仅向厂商公开
2012-09-14: 细节向第三方安全合作伙伴开放
2012-11-05: 细节向核心白帽子及相关领域专家公开
2012-11-15: 细节向普通白帽子公开
2012-11-25: 细节向实习白帽子公开
2012-10-22: 细节向公众公开

简要描述:

各大银行ios手机银行客户端没有防护键盘记录的功能。
包括工商银行、建设银行、邮政银行、招商银行、农行等,经测试,只发现邮政银行手机客户端密码部分可以防止键盘记录软件。
《网上银行系统信息安全通用规范》(121号文)中提到针对移动终端客户端的要求中提到客户端测序开发设计过程中应注意规避各终端平台存在的安全漏洞,例如键盘输入记录。。。。。

详细说明:

在自己的iphone上预装了键盘记录软件。登陆各个银行的客户端软件,发现几乎所有银行的ios客户端都可以被键盘记录下登陆的账号和密码。甚至包括App Store也没有相关防护机制。

漏洞证明:

修复方案:

请咨询高级安全厂商或iphone应用开发厂商

版权声明:转载请注明来源 super480@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2012-09-11 22:23

厂商回复:

CNVD暂未及时复现所述内容(刷机进行中),根据作者所述情况先行确认,以免信息扩散。根据所述内容,暂不以漏洞事件论处,根据iOS系统涉及的权限问题及软件安全设计原则,暂以移动互联网安全风险事件对待。
转由CNCERT主办的中国反网络病毒联盟(英文简称:ANVA,www.anva.org.cn)进行关注,在下一步的处置流程中依照作者提供的案例进行软件比对,根据比对结果向银行业信息化主管部门进行通报。
涉及新领域的事件,按本地攻击(目前未认定远程回传方式,但实际上很容易做到)、完全影响机密性进行评分,rank=5.56*1.3*1.6=11.564

最新状态:

暂无


漏洞评价:

评论

  1. 2012-09-07 11:05 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这是要越狱前提?

  2. 2012-09-07 12:34 | open ( 实习白帽子 | Rank:31 漏洞数:5 | ;alert('robert');//)

    移动应用这块......

  3. 2012-09-07 14:36 | iceks ( 路人 | Rank:4 漏洞数:1 | 你是我的小呀小苹果~)

    比较给力的

  4. 2012-09-07 15:19 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    iOS除非越狱吧

  5. 2012-09-11 23:29 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    复现不容易哦

  6. 2012-09-14 16:02 | hellok ( 普通白帽子 | Rank:123 漏洞数:10 | 酱油党路过)

    越狱后引发的问题不属于程序自身的问题

  7. 2012-10-23 14:43 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    @hellok +1