当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07620

漏洞标题:QQ软件不要密码直接登录

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2012-05-28 23:20

修复时间:2012-05-29 09:56

公开时间:2012-05-29 09:56

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-28: 细节已通知厂商并且等待厂商处理中
2012-05-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

QQ软件不要密码直接登录

详细说明:

本人使用android qq 2.1 版本,在使用的过程中发现了一个特殊的情况,QQ可以不要密码就能登录。
1.帐号上登录过,但没有记住密码的号,我们过会就能上这个号了


2.登录另一个号,随便一个号都可以,这个是记住密码并点登录


3.按功能键,选择帐号菜单后会跳出来下面这个界面


4.在这两个之间切换就可以登录刚才的那个没有密码的QQ了。


有一个缺陷,就是你要上的这个号,是要在这个手机上登录过的,不然不行。

漏洞证明:

本人使用android qq 2.1 版本,在使用的过程中发现了一个特殊的情况,QQ可以不要密码就能登录。
1.帐号上登录过,但没有记住密码的号,我们过会就能上这个号了


2.登录另一个号,随便一个号都可以,这个是记住密码并点登录


3.按功能键,选择帐号菜单后会跳出来下面这个界面


4.在这两个之间切换就可以登录刚才的那个没有密码的QQ了。


有一个缺陷,就是你要上的这个号,是要在这个手机上登录过的,不然不行。

修复方案:

厂家直接修复

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-29 09:56

厂商回复:

感谢您的报告!经过评估,我们暂未发现可利用的场景,如有其他发现,敬请告知,多谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2012-05-29 04:49 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    逆天了吧?

  2. 2012-05-29 08:57 | 随风.潜入夜 ( 路人 | Rank:22 漏洞数:5 )

    你敢不敢输10000号

  3. 2012-05-29 09:06 | 123luckydog ( 路人 | Rank:3 漏洞数:4 | 合作请拨打24小时热线:4008-517-517)

    该不会是自动登录吧

  4. 2012-05-29 09:12 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    不记住密码 直接登录? 等待公布。。。

  5. 2012-05-29 09:16 | P w ( 实习白帽子 | Rank:72 漏洞数:14 | -这家伙很懒,什么都没有留下。其实我真的很...)

    前排关注...

  6. 2012-05-29 09:42 | nidao ( 路人 | Rank:7 漏洞数:3 | 还是木有。)

    楼主想逆天。。。坐等公开。。。(不会是在自动登陆那个打了个勾吧。- -)

  7. 2012-05-29 09:48 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    这是要逆天啊

  8. 2012-05-29 10:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个没有自动登陆也会记录密码么,就是只要登陆密码就被记住了吧

  9. 2012-05-29 13:00 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    qq 现在流行 忽略呀

  10. 2012-05-29 13:46 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    我试了下 不行0-0! 难道是版本问题等下更新。。

  11. 2012-05-30 09:06 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    强烈建议乌云断绝一切与腾讯公司的漏洞提交 这QQ太j8不够意思了 和中移动一个货色

  12. 2012-05-30 09:19 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小威 是不是看问题的角度不同?

  13. 2012-05-30 15:34 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    @xsser 没觉得如何 看了这么多QQ的洞子 基本都是自己补上了 然后再忽略 这不是角度问题 而是一个公司的教养的问题

  14. 2012-05-30 23:06 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    哪位神仙测试测试?

  15. 2012-05-31 11:08 | blue 认证白帽子 ( 普通白帽子 | Rank:779 漏洞数:70 | 我心中有猛虎,细嗅蔷薇。)

    @瘦蛟舞 @xsser android 2.3.6,手机QQ2012最新版,测试同样未重现~~

  16. 2012-05-31 11:11 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    估计是老版本,悄悄的补上了

  17. 2012-05-31 17:12 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    我用的 手机QQ2012最新版测试 可以登录 和上面说的一样

  18. 2012-05-31 17:14 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小威 可以把你的系统环境和图截图给我么?我短信你我QQ

  19. 2012-06-01 10:14 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    @路人甲 刚刚和@xsser做了一下测试 必须要记录密码的前提下才可以切换登录的 如果登录的时候不记录密码 切换登录后需要重新输入 也就不会存在任意登录的情况了