当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046608

漏洞标题:小米账户设置未添加对原绑定邮箱、手机验证的功能

相关厂商:小米科技

漏洞作者: 路人甲

提交时间:2013-12-21 11:29

修复时间:2013-12-24 10:56

公开时间:2013-12-24 10:56

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-21: 细节已通知厂商并且等待厂商处理中
2013-12-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

在获得他人的小米账号和密码后,进入小米账户设置页,在不验证原绑定邮箱和手机前提下就可以把原绑定邮箱和手机号修改成任意的邮箱和手机号。并且原邮箱地址和手机号没有打码,会造成信息泄露。
小米账户页面有进入小米论坛、MIUI论坛、小米云服务、米聊、小米VIP认证等入口,很容易得到该用户的照片、短信、通讯录和他的大概位置(假设该用户在小米手机里开启了“找回手机”选项)。

漏洞证明:

1、登入小米账户页面:假如

https://account.xiaomi.com/pass/userInfo?userId=12345678


.png


2、选择手机号码后的“更改”

 - 更改绑定手机01.png


这步根本没有验证原手机号
3、输入新的任意的手机号码

 - 更改绑定手机02.png


点击下一步,小米把验证码直接发到新的手机上,填写好验证码就可以完成新手机号的绑定,不需验证原手机就可以更改绑定的手机号。
同理,更改绑定邮箱也是轻而易举
a、点击邮箱地址后的“更改”

 - 更改绑定邮箱01.png


b、输入新的邮箱地址,系统直接把验证码发到新的邮箱中

 - 更改绑定邮箱02.png


c、在新的邮箱里点击带有验证功能的链接后就完成新邮箱的绑定。
在非常容易地修改原绑定手机和邮箱后,这个账号从此就不属于你了。

修复方案:

对绑定的邮箱和手机号修改时需对原绑定邮箱和手机号进行安全验证。
如果原邮箱或手机号作废,那么加入新的办法,如:通过密保问题更改、通过备用安全邮箱或手机号更改、通过之前绑定的安全令卡更改等方法实现。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-24 10:56

厂商回复:

小米账户设置已添加对原绑定邮箱、手机验证的功能,感谢您对小米科技的支持。故忽略

最新状态:

暂无


漏洞评价:

评论

  1. 2013-12-21 12:43 | 何松 ( 路人 | Rank:18 漏洞数:4 | 你看)

    小米厂商的人都不让人喜欢

  2. 2013-12-21 12:47 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    小米厂商的人都不让人喜欢

  3. 2013-12-24 17:49 | 李旭敏 ( 普通白帽子 | Rank:469 漏洞数:71 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    @小米科技 呵呵。什么时候忽略后修复漏洞也变得如此光明正大了··

  4. 2013-12-24 17:51 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    路人甲哥哥失败了..我们为他哀掉...

  5. 2013-12-24 19:53 | 何松 ( 路人 | Rank:18 漏洞数:4 | 你看)

    @小米科技 呵呵。什么时候忽略后修复漏洞也变得如此光明正大了··德行问题吧

  6. 2013-12-24 20:15 | uni3orns ( 路人 | Rank:24 漏洞数:2 | 过来膜拜各位洞主的)

    @何松 看清楚啊,人家说的是人家有这个机制,这提交的就不是漏洞,是漏洞就把最后改成功的截图了