当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015090

漏洞标题:腾讯QQ的密保手机验证无次数限制,补卡狗的专利!

相关厂商:腾讯

漏洞作者: 老笨蛋

提交时间:2012-11-22 11:45

修复时间:2013-01-06 11:46

公开时间:2013-01-06 11:46

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-22: 细节已通知厂商并且等待厂商处理中
2012-11-22: 厂商已经确认,细节仅向厂商公开
2012-12-02: 细节向核心白帽子及相关领域专家公开
2012-12-12: 细节向普通白帽子公开
2012-12-22: 细节向实习白帽子公开
2013-01-06: 细节向公众公开

简要描述:

腾讯QQ的密保手机验证无次数限制,补卡狗的专利!

详细说明:

go,手机安全中心:
第一步:
https://aq.qq.com/cn2/findpsw/mobile_web_find_input_account
输入绑定了密保手机的账号。
第二步:
选择“通过密保验证”
第三步:
选择“通过密保手机验证”
坑爹的事情出现了,这时免密码测试安全手机对错!
已知手机头三位和后两位,社工一下,得知手机所在地的号段……接着工作量大一点,但还是可以完成的:)
得到了密保手机,该干什么干什么去吧。
腾讯的密保措施中设定的安全手机能够改掉其它一切密保手段,并且12小时即可更换。各地电信公司晚上18:00时到次日8:00时后台操作人员不上班,这给补卡盗号集团留了很大的空子可钻:只要查出密保手机,伪造虚假身份证,利用运营商不严格的验证机制补卡,然后即可盗走号码。
现在不少论坛里都吵开了,一伙不怕死的犯罪团伙专门通过补手机卡来盗QQ并非法出售。
最为精彩的是有一个QQ1116111 昵称“追风”的人,公开在他的淘宝上售卖这些被补卡盗走的QQ号。啧啧~~~
QQ:1116111 手机:13953952886 QQ交流群:900075
http://1116111.taobao.com/
既然有不怕死想吃牢饭的人,腾讯公司也该管管吧:)要想知道哪些号近期被补卡了,我也可以提供一些信息给你们。

漏洞证明:

修复方案:

版权声明:转载请注明来源 老笨蛋@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2012-11-22 14:29

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与相关人员进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-11-22 12:27 | 街球幽灵 ( 路人 | Rank:29 漏洞数:5 | 社会工程学研究,手机维修工程师。)

    前排围观~

  2. 2012-11-22 16:19 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    又一个底层安全机制将瓦解?

  3. 2012-12-12 17:57 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    很多年前就开始补卡了我记得10年的时候就有人在干了

  4. 2012-12-14 09:09 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    好案例!

  5. 2012-12-24 15:25 | 黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)

    好案例!

  6. 2013-01-07 01:23 | Allmylife ( 实习白帽子 | Rank:69 漏洞数:18 | Pay all my life on security!)

    移动的问题