当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041206

漏洞标题:腾讯qq android客户端一定条件下可导致信息泄露

相关厂商:腾讯

漏洞作者: jadore

提交时间:2013-10-27 20:00

修复时间:2013-10-30 10:43

公开时间:2013-10-30 10:43

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-27: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用户的个人信息应该得到保护,在一定程度上说,即使本机本用户也仅仅可以从客户端来查看相关信息

详细说明:

腾讯手机qq android版对用户的数据库未做加密处理,用户不仅仅可以轻松查看自己qq上的好友,群及聊天记录。也可以查看其他人用自己手机登陆的其他号码的相关信息。
对于这个问题,首先来假设一下应用场景:
1.用户从客户端查看自身相关信息没问题,无法查看其他人用自己手机登陆且已退出并且未保存密码的qq的信息,这个逻辑是对的。但是android版的qq可以通过数据库,在不通过客户端的情况下就可以查看到自己qq的相关信息,以及其他人用自己手机登陆过的,且无需密码即可查看该qq的相关信息,从造成个人信息泄露
2.如果用户的手机丢失,那么该手机上登陆过的qq的相关信息即可被当前手机拥有者轻松获取
3.如果有恶意软件,或者通过浏览器漏洞,可以轻松获取到一台手机上的所有登陆过的qq的各种信息
4.当然还有其他未知的可能造成用户的个人的个人隐私的泄露
综上,我认为需要对相关数据库做加密处理

漏洞证明:

我们进入到手机qq的相关数据库的文件夹内,用sqlite3可以轻松打开其中的各个库与表

1.png


然后我们选择一个账号的db

2.png


我们发现可以轻松打开,并且选择其中的friends表

3.png


我们发现了这个在我手机上登陆过,但是我不知道密码的qq的详细好友信息
信息量很大!!!
然后我们在去看看聊天记录的表

4.png


然后我们将数据库导出,在本地测试依旧可以顺利打开

5.jpg


6.jpg


7.jpg


8.jpg


而我们对比腾讯在PC上的处理,明显觉得android上问题很大

9.jpg


10.jpg


修复方案:

作为社交软件,对相关敏感数据库还是做一下加密处理好些

版权声明:转载请注明来源 jadore@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-30 10:43

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-10-27 20:04 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    围观~

  2. 2013-10-27 20:37 | adm1n ( 普通白帽子 | Rank:216 漏洞数:66 | 只是一个渣渣而已。。。)

    目测会火~

  3. 2013-10-27 20:38 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    mark

  4. 2013-10-27 21:02 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    难道是那个手机和电脑互传文件时的

  5. 2013-10-27 21:36 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    现在的人取标题太没节操了 @finger

  6. 2013-10-27 21:56 | jadore ( 路人 | Rank:7 漏洞数:6 | .....)

    菜鸟不太会标题@xsser 前辈

  7. 2013-10-28 07:54 | 雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)

    忽略的节奏。前排

  8. 2013-10-28 15:28 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @xsser 深有体会,当我看到好多各种数据大量泄漏,期待公开后,一看是弱密码,我都快哭了

  9. 2013-10-29 22:43 | →Hack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习,天天向上!)

    关注及测试啊!

  10. 2013-10-30 11:02 | 乌云最帅的淫 ( 实习白帽子 | Rank:51 漏洞数:23 | 不以淫荡惊天下,就以闷骚动世人)

    @xsser 老大.为什么厂家给我 6分 我咋只获得2分,还有就是我提交了一周的洞都没人审核.请解决下老大

  11. 2013-10-30 11:45 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了,刷分还是不刷?)

    @乌云最帅的淫 http://www.wooyun.org/notice.php?action=view&id=28 把 @疯狗 的活给干了

  12. 2013-10-30 12:01 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    一没明文好友信息,二没聊天记录。。能泄露什么呢?除非洞主找到了解密方法?

  13. 2013-10-30 13:08 | kookxiang ( 路人 | Rank:28 漏洞数:6 | 苦逼PHP程序猿…)

    data分区受系统保护,其它程序无权读取。用Root权限当然能看,随便给root授权任何人也没办法防得住

  14. 2013-10-30 14:25 | xx123 ( 路人 | Rank:1 漏洞数:1 | 雷锋)

    目测会火。。。

  15. 2013-10-31 00:40 | 一灯大师 ( 普通白帽子 | Rank:140 漏洞数:28 | 一盏灯,也能让世界安全)

    这种不算漏洞