当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014655

漏洞标题:魅族Flyme爆严重漏洞,J.Wong电话本惨遭泄露

相关厂商:魅族科技

漏洞作者: 奥萨马

提交时间:2012-11-12 10:47

修复时间:2012-11-17 10:51

公开时间:2012-11-17 10:51

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-12: 细节已通知厂商并且等待厂商处理中
2012-11-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

此次电话本泄露事件是由于魅族在线商城存在漏洞,导致黑客可以有权限修改用户邮箱,并通过找回密码的方式修改密码,继而登录魅族用户中心,从而获取用户的电话本。

详细说明:

作为国内首家独立从山寨逐渐走向独立研发的手机企业,魅族一直以来都是广大机友们争论的焦点。在魅族自己的眼中,他们“低调做事,同时抬头看路”,而且“在适当的时候,在适当的地点”,他们将会“打一场有把握的仗”;在魅友(魅族粉丝)眼里,魅族是一家良心企业,国内真正用心来做手机的企业,支持魅族就是支持国产,更重要的是支持着黄章的梦想;而在外界眼中,这是一个能够将将三星i9000、motorola defy、HTC desire系列以及iphone4“秒”得干干净净的企业,他们的“魅友”非常团结,对外界的任何质疑都会报以各种诅咒及问候。
对于魅族来说,无论世间看法如何,他们仍然封闭在自我的世界里跟随梦想飞翔,坚持着论坛一贯的洗脑政策——“无爱请离开”。这是一个成功的企业,毕竟从2007年的产值2亿元到2012年上半年产值就超过10亿,这是一个成功的飞跃,也让魅族的高层们赚得盆满钵满。
魅族从他第一款手机M8到现在,对于他自己的路线有着独到的坚持,要走出自己的特色,当然这也让魅族的发展变得困难重重。当年从魅族号称要做手机到M8真正上市,花了将近三年,而上市之后也是问题一堆,让人大跌眼镜。让大家认识到从山寨到自主的路并没有那么好走。而后抛弃M8的WINCE而转投Android阵营,搞深度定制,也和M8的整个生命历程一样,系统BUG不断,修修补补,坎坎坷坷的走过了一年半,才终于推出了所谓的Flyme OS。尽管手机存在各种问题,但是广大魅友还是表现出了难得的包容,这就是魅族精神力量的强大。
作为一个视研发为生命的企业,研发自然应该是企业的重中之重,而从魅族身上,似乎很难发现这样的迹象。如果你用过魅族的手机,你会发现简直BUG不断,程序崩溃、系统死机司空见惯,甚至连米聊这样的应用程序都总是安装失败,真不知道是程序员有意为之还是无能为力。不光魅族手机,甚至连魅族的论坛也总是BUG频出,曾经有网友一夜之间遭系统赠送千万魅币,辩解无门却遭管理员无情封杀。
Flyme作为魅族原创自主独立研发的定制系统,完全不同于其他定制系统,他完全是本着国人的习惯而生的,Flyme的更新几乎不考虑Android的更新进展。然而,这个倾注了魅族大量心血的更快更聪明的系统,却并没有想象的那么完美。当今社会,手机在生活中扮演了至关重要的角色,是现代人隐私的第一道防线,一旦手机被入侵,用户的新怒哀乐恩怨情仇将一览无余,而这个可怕的事实却发生在了Flyme的身上:

无标题.png


这是一个电话本的截图,但这不是一个普通的电话本,这是魅族的CEO黄章(J.Wong)的电话本,同时被曝光的不仅只是J.Wong的电话本,还包括魅族的管理员“卓岳”、“校园民谣”等人的电话本。Flyme用户的隐私就这样毫无遮掩的曝光在阳光下,这是何等可怕的一件事,作为魅族本身,是不是应该考虑提高一下自身的研发能力以及开发水平,而不是像对待论坛BUG一样,封杀禁言所有相关ID,把BUG造成的后果责任推卸到用户头上,对于一家负责任的企业,重要的是从自身寻找一下原因,而不是一味的推卸责任。为什么外界会认为魅族的企业文化就是跳票和推卸责任呢,“信号不好是英飞凌的问题,程序少是微软的问题,续航短是比亚迪的问题,系统不稳定是谷歌的问题,论坛有BUG是DISCUZ的问题”,不知道FLYME泄露用户隐私又是谁的问题。
据称,此次电话本泄露事件是由于魅族在线商城存在漏洞,导致黑客可以有权限修改用户邮箱,并通过找回密码的方式修改密码,继而登录魅族用户中心,从而获取用户的电话本。在BUG被发现后,黑客已经对魅族的管理员进行了善意的提醒:

邮件报告BUG.jpg


在经过漫长耐心的等待之后,终于才得到了魅族开发人员的回应:

.jpg


尽管已经反馈给魅族官方,但是也很难保证只有一个人发现这个BUG,也很难保证别人没有大规模的窃取用户资料。这样的安全漏洞对于一个以无爱请离开为宗旨的企业来说或许不算什么,但是对于用户来说这样的漏洞可能会导致非常严重的后果。
其实魅族的作风从M8时代就已经定型了,对于用户所提出的建议或者意见从来都是充耳不闻,对于很多建设性的意见连个回复的没有,比如针对MX不可换电池这个问题,只要在魅族论坛强烈提出反对意见者无一例外遭到了封杀。当然,在手机行业如浑水一般的今天,这种固执的作风未必不是一件好事,毕竟一个品牌或者行业还是需要一些特例独行的风格才能走出自己特色的路线。当然,如果魅族的宗旨不再是无爱请离开,或许明天会更好吧。

漏洞证明:

j.wong电话本.png


卓卓岳电话本.jpg


校园民谣电话本.jpg

修复方案:

屏蔽论坛member.php访问权限
更改管理员弱密码
禁止商城内修改用户邮箱

版权声明:转载请注明来源 奥萨马@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-17 10:51

厂商回复:

最新状态:

暂无


漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2012-11-22 16:23 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    魅族官方回复:该事件详细情况如下:该事件发生在2011年10月28日,由于我司商城一管理员疏忽,导致管理员帐号遭人盗用,获取个别用户登录权限并查看了相关用户资料;收到反馈后,我司已对该管理员帐号以及有可能泄漏的用户帐号进行了处理!到现在为止,未发生类似事件。我们已经联系该漏洞发布作者,确认其反馈就是上述事件!未发现新漏洞!

  1. 2012-11-12 11:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个问题迟早小米之类的也会遇到,本质上是云端安全问题

  2. 2012-11-12 11:58 | ca3tie1 ( 路人 | Rank:18 漏洞数:4 | castiel)

    这个给力!!我用的就是魅族。。。。。

  3. 2012-11-12 12:35 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    快把电话本替换成雷布斯的。

  4. 2012-11-12 13:47 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    呵呵 还有个用户登录信息劫持的漏洞 不过已经报给魅族科技了

  5. 2012-11-12 14:31 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    .

  6. 2012-11-12 15:36 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Finger 鄙视

  7. 2012-11-12 15:41 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @xsser 那得排队

  8. 2012-11-12 16:26 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 爱顾商城的密码登不上去,能不能刷库啊,刷为12345678,密码重置邮件发了几封了

  9. 2012-11-12 21:40 | 小黑要低调 ( 实习白帽子 | Rank:47 漏洞数:4 | 小黑一枚)

  10. 2012-11-19 14:38 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    这么长的内容我竟然看完了!更希望洞主能提供漏洞的成因和利用方法。

  11. 2012-11-19 14:43 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @qiaoy “魅族在线商城存在漏洞,导致黑客可以有权限修改用户邮箱,并通过找回密码的方式修改密码”

  12. 2012-11-19 16:22 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    @xsser 好吧,我直接从详情里看的,没注意简述,:-)

  13. 2012-11-19 16:28 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @qiaoy 这玩意儿的确太简洁了

  14. 2012-11-22 16:23 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    魅族官方回复:该事件详细情况如下:该事件发生在2011年10月28日,由于我司商城一管理员疏忽,导致管理员帐号遭人盗用,获取个别用户登录权限并查看了相关用户资料;收到反馈后,我司已对该管理员帐号以及有可能泄漏的用户帐号进行了处理!到现在为止,未发生类似事件。我们已经联系该漏洞发布作者,确认其反馈就是上述事件!未发现新漏洞!

  15. 2012-12-17 17:59 | CHForce ( 路人 | Rank:0 漏洞数:1 | 路过不代表我冷漠,走路不代表没有马)

    @xsser 为嘛 1年多的今天才曝光呢??太思密达了

  16. 2012-12-17 18:00 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @CHForce 厂商澄清为一年前的,我们并不是曝光,只是觉得这个云概念需要有注意的问题,这个案例比较典型

  17. 2012-12-17 18:18 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    @xsser 云安全初露锋芒,前途无量...PS:不会是你的马甲吧~~