当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08470

漏洞标题:Android手机系统锁屏功能信息泄露风险

相关厂商:google/android

漏洞作者: 猪哥靓

提交时间:2012-06-19 12:19

修复时间:2012-06-19 12:19

公开时间:2012-06-19 12:19

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-06-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用iphone的大款你们可以飘过了。

详细说明:

我用的是三星i9220 android系统是2.3.5
这个信息泄漏的前提条件是手机开放了屏幕解锁设置功能,且绑定了google帐户或者设置密码保护问题。
一般默认情况下手机锁屏后需要输入解锁密码或者图案才能进入手机
下面是我的手机锁屏画面


默认状态下手机解锁图案下方只有一个拨打“紧急号码”功能
假设我们不知道这部手机的解锁方式,随意输入5次错误的解锁图案


这时候锁屏图案下放出现了一个“忘记样式?”的按钮
正常情况下是需要我们输入之前绑定的google帐号密码就可以设置新的解锁密码


不过现在可以长按输入筐会出现一个功能选项,比如“粘贴”和“剪贴板”
我们直接选择剪贴板


现在既可看到手机用户之前所有的剪贴记录,如短信或者其他敏感信息之类。
其他android版本的手机你们可以自己试试。

漏洞证明:

我们直接选择剪贴板


现在既可看到手机用户之前所有的剪贴记录,如短信或者其他敏感信息之类。
其他android版本的手机你们可以自己试试。

修复方案:

取消锁屏后输入框的选项吧

版权声明:转载请注明来源 猪哥靓@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2012-06-19 13:10 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

    泄漏敏感位置信息

  2. 2012-06-19 13:32 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    我的也是黑色大牛。。。泄漏很多信息。。。

  3. 2012-06-19 14:02 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)

    再次膜拜,.

  4. 2012-06-20 12:05 | unic02n ( 实习白帽子 | Rank:73 漏洞数:9 | 我是来学习的!)

    miui的表示鸭梨不大,

  5. 2013-10-25 08:40 | 雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)

    诺基亚路过。吊丝一枚