漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-014655
漏洞标题:魅族Flyme爆严重漏洞,J.Wong电话本惨遭泄露
相关厂商:魅族科技
漏洞作者: 奥萨马
提交时间:2012-11-12 10:47
修复时间:2012-11-17 10:51
公开时间:2012-11-17 10:51
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-12: 细节已通知厂商并且等待厂商处理中
2012-11-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
此次电话本泄露事件是由于魅族在线商城存在漏洞,导致黑客可以有权限修改用户邮箱,并通过找回密码的方式修改密码,继而登录魅族用户中心,从而获取用户的电话本。
详细说明:
作为国内首家独立从山寨逐渐走向独立研发的手机企业,魅族一直以来都是广大机友们争论的焦点。在魅族自己的眼中,他们“低调做事,同时抬头看路”,而且“在适当的时候,在适当的地点”,他们将会“打一场有把握的仗”;在魅友(魅族粉丝)眼里,魅族是一家良心企业,国内真正用心来做手机的企业,支持魅族就是支持国产,更重要的是支持着黄章的梦想;而在外界眼中,这是一个能够将将三星i9000、motorola defy、HTC desire系列以及iphone4“秒”得干干净净的企业,他们的“魅友”非常团结,对外界的任何质疑都会报以各种诅咒及问候。
对于魅族来说,无论世间看法如何,他们仍然封闭在自我的世界里跟随梦想飞翔,坚持着论坛一贯的洗脑政策——“无爱请离开”。这是一个成功的企业,毕竟从2007年的产值2亿元到2012年上半年产值就超过10亿,这是一个成功的飞跃,也让魅族的高层们赚得盆满钵满。
魅族从他第一款手机M8到现在,对于他自己的路线有着独到的坚持,要走出自己的特色,当然这也让魅族的发展变得困难重重。当年从魅族号称要做手机到M8真正上市,花了将近三年,而上市之后也是问题一堆,让人大跌眼镜。让大家认识到从山寨到自主的路并没有那么好走。而后抛弃M8的WINCE而转投Android阵营,搞深度定制,也和M8的整个生命历程一样,系统BUG不断,修修补补,坎坎坷坷的走过了一年半,才终于推出了所谓的Flyme OS。尽管手机存在各种问题,但是广大魅友还是表现出了难得的包容,这就是魅族精神力量的强大。
作为一个视研发为生命的企业,研发自然应该是企业的重中之重,而从魅族身上,似乎很难发现这样的迹象。如果你用过魅族的手机,你会发现简直BUG不断,程序崩溃、系统死机司空见惯,甚至连米聊这样的应用程序都总是安装失败,真不知道是程序员有意为之还是无能为力。不光魅族手机,甚至连魅族的论坛也总是BUG频出,曾经有网友一夜之间遭系统赠送千万魅币,辩解无门却遭管理员无情封杀。
Flyme作为魅族原创自主独立研发的定制系统,完全不同于其他定制系统,他完全是本着国人的习惯而生的,Flyme的更新几乎不考虑Android的更新进展。然而,这个倾注了魅族大量心血的更快更聪明的系统,却并没有想象的那么完美。当今社会,手机在生活中扮演了至关重要的角色,是现代人隐私的第一道防线,一旦手机被入侵,用户的新怒哀乐恩怨情仇将一览无余,而这个可怕的事实却发生在了Flyme的身上:
这是一个电话本的截图,但这不是一个普通的电话本,这是魅族的CEO黄章(J.Wong)的电话本,同时被曝光的不仅只是J.Wong的电话本,还包括魅族的管理员“卓岳”、“校园民谣”等人的电话本。Flyme用户的隐私就这样毫无遮掩的曝光在阳光下,这是何等可怕的一件事,作为魅族本身,是不是应该考虑提高一下自身的研发能力以及开发水平,而不是像对待论坛BUG一样,封杀禁言所有相关ID,把BUG造成的后果责任推卸到用户头上,对于一家负责任的企业,重要的是从自身寻找一下原因,而不是一味的推卸责任。为什么外界会认为魅族的企业文化就是跳票和推卸责任呢,“信号不好是英飞凌的问题,程序少是微软的问题,续航短是比亚迪的问题,系统不稳定是谷歌的问题,论坛有BUG是DISCUZ的问题”,不知道FLYME泄露用户隐私又是谁的问题。
据称,此次电话本泄露事件是由于魅族在线商城存在漏洞,导致黑客可以有权限修改用户邮箱,并通过找回密码的方式修改密码,继而登录魅族用户中心,从而获取用户的电话本。在BUG被发现后,黑客已经对魅族的管理员进行了善意的提醒:
在经过漫长耐心的等待之后,终于才得到了魅族开发人员的回应:
尽管已经反馈给魅族官方,但是也很难保证只有一个人发现这个BUG,也很难保证别人没有大规模的窃取用户资料。这样的安全漏洞对于一个以无爱请离开为宗旨的企业来说或许不算什么,但是对于用户来说这样的漏洞可能会导致非常严重的后果。
其实魅族的作风从M8时代就已经定型了,对于用户所提出的建议或者意见从来都是充耳不闻,对于很多建设性的意见连个回复的没有,比如针对MX不可换电池这个问题,只要在魅族论坛强烈提出反对意见者无一例外遭到了封杀。当然,在手机行业如浑水一般的今天,这种固执的作风未必不是一件好事,毕竟一个品牌或者行业还是需要一些特例独行的风格才能走出自己特色的路线。当然,如果魅族的宗旨不再是无爱请离开,或许明天会更好吧。
漏洞证明:
修复方案:
屏蔽论坛member.php访问权限
更改管理员弱密码
禁止商城内修改用户邮箱
版权声明:转载请注明来源 奥萨马@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-11-17 10:51
厂商回复:
最新状态:
暂无