当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037245

漏洞标题:中国电信手机端某接口可获全国电信人民身份信息

相关厂商:中国电信

漏洞作者: Elegance

提交时间:2013-09-15 23:20

修复时间:2013-10-30 23:20

公开时间:2013-10-30 23:20

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-15: 细节已通知厂商并且等待厂商处理中
2013-09-18: 厂商已经确认,细节仅向厂商公开
2013-09-28: 细节向核心白帽子及相关领域专家公开
2013-10-08: 细节向普通白帽子公开
2013-10-18: 细节向实习白帽子公开
2013-10-30: 细节向公众公开

简要描述:

某天,我下了电信的手机客户端。打开的同时,我惊异了!直觉告诉我这种惊异可能是某种洞,于是有了下文......

详细说明:

神奇的客户端,打开了居然直接就登录了。百思不得其解,难道这软件有权限直接暗地里发短信认证?
这个貌似不大可能,于是乎分析了下
登录过程分析
登录时的参数通过XML传递给服务器:

<Request>
  <HeaderInfos>
    <ClientType>xxx</ClientType>
    <Source>110003</Source>
    <SourcePassword>Sid98s</SourcePassword>
    <Token></Token>
    <UserLoginName></UserLoginName>
    <Code>imsiInfo</Code>
    <Timestamp>20130915173847</Timestamp>
  </HeaderInfos>
  <Content>
    <Attach>test</Attach>
    <FieldData>
    <ImsiNbr>460030136837068</ImsiNbr>
    </FieldData>
  </Content>
</Request>

几个关键的参数:Source、SourcePassword、ImsiNbr,这几个参数我未曾输入,服务端也未曾传递过来,那只有一种可能就是客户端从手机上获取的或生成的。
反编译了下APK包。万幸!源码居然没经过混淆。于是顺利的定位到了这几个参数的出处
source和sourcePassword:

public static void init(String paramString)
  {
    source = "110003";
    sourcePassword = "Sid98s";
    userLoginName = paramString;
    clientType = MyApplication.b;
  }


ImsiNbr:

String str4 = i.f(this.mContext);
ImsiInfoRequest localImsiInfoRequest = new ImsiInfoRequest();
localImsiInfoRequest.setImsiNbr(str4);
     ↓ ↓ ↓
public static String f(Context paramContext)
  {
    try
    {
      String str = ((TelephonyManager)paramContext.getSystemService("phone")).getSubscriberId();
      if (str == null)
        str = "0";
      return str;
    }
    catch (Exception localException)
    {
      localException.printStackTrace();
    }
    return "0";
  }

source和sourcePassword为常量,搞不懂把自定义的一个常量从客户端传给服务端要做什么?
ImsiNbr是通过getSubscriberId()获取手机的SIM卡序列号。
即登录过程的唯一标识仅仅只是通过SIM卡序列号,同时又没用任何手段来确保该SIM序列号不被修改。既然如此,只要修改这个序列号即可伪装任何用户进行操作。
测试了下,果真可以:

-2副本.jpg

登录成功后,服务器会返回手机号码和一个该手机号绑定的token值。这个token值相当于sessionId。有了它就可以执行客户端所有的功能,查询余额、话费、账单、充值记录什么的。
当然了这种客户端功能比较少,通话记录,短信记录肯定是没办法查了。但是其中有个接口居然将开卡信息(开卡时间、登记人姓名、住址、证件号码)返回给了客户端。
利用上面的登录缺陷,我们可以遍历所有用户,通过该接口即可获取所有用户的开卡信息。

漏洞证明:

将登录请求中的几个参数修改成如下即可

<Token>填入对应号码的token值</Token>
<Code>custInfo</Code>
<PhoneNbr>填入手机号码</PhoneNbr>


利用burpsuite测试了下:
遍历SIM序列号:

token-1.jpg


遍历开卡信息:

-1.jpg


获取的身份信息:

-2.jpg

注:仅为测试,仅遍历了50个序列号,且数据已删除!
还有一个小问题,这貌似是内网地址~~~

HttpHost localHttpHost = new HttpHost("10.0.0.200", 80);

修复方案:

1、增加认证手段
2、这些开卡信息貌似没必要传递给客户端吧!
3、增加权限控制

版权声明:转载请注明来源 Elegance@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-09-18 22:38

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-16 01:06 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    这个不是前一段封掉了吗.iPhone客户端的前一段被封掉了,不能查身份证号了

  2. 2013-09-16 09:32 | Elegance ( 实习白帽子 | Rank:48 漏洞数:3 | 此人很懒,什么话都没留下!)

    @北洋贱队 可以查,连详细的住址信息都有

  3. 2013-09-16 12:34 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    开门查水表

  4. 2013-09-16 12:50 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    开门查水表

  5. 2013-09-16 15:08 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    开门查水表

  6. 2013-09-16 20:06 | 记得 ( 路人 | Rank:8 漏洞数:3 | 人 生 若 只 如 初 見)

    开门你快递到来

  7. 2013-09-16 22:08 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    开门查水表

  8. 2013-09-16 23:01 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    开门查水表

  9. 2013-09-17 17:51 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    开门查水表

  10. 2013-09-18 13:00 | 木偶 ( 路人 | Rank:2 漏洞数:2 | 二货.....)

    开门查水表

  11. 2013-09-18 13:39 | Master ( 路人 | Rank:29 漏洞数:10 )

    开门查水表

  12. 2013-09-19 11:11 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    !!!求详情 PM

  13. 2013-09-19 22:56 | 高斯 ( 路人 | Rank:16 漏洞数:4 )

    求详情 PM

  14. 2013-10-26 23:43 | Cpt.Tony ( 路人 | Rank:0 漏洞数:1 | 兴趣)

    有点凶残!

  15. 2013-10-29 09:30 | 昵称 ( 路人 | 还没有发布任何漏洞 | 简单介绍)

    niubility

  16. 2013-12-25 15:27 | Topman王 ( 实习白帽子 | Rank:31 漏洞数:6 | 软件开发工程师!白帽子!XSSER,渗透,SEO)

    开门查水表