漏洞概要
关注数(24)
关注此漏洞
漏洞标题:LBE手机安全大师主动防御功能缺陷
提交时间:2013-12-31 13:03
修复时间:2014-03-28 13:04
公开时间:2014-03-28 13:04
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-12-31: 细节已通知厂商并且等待厂商处理中
2014-01-05: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-03-01: 细节向核心白帽子及相关领域专家公开
2014-03-11: 细节向普通白帽子公开
2014-03-21: 细节向实习白帽子公开
2014-03-28: 细节向公众公开
简要描述:
LBE手机安全大师主动防御功能缺陷,可能无法拦截软件行为例如发短信、打开wifi等。
详细说明:
事件起源于这个漏洞,原来我一直用的软件居然是纸老虎,伤心。
WooYun: 华为商城安卓客户端存储跨站&强制发短信
然后猜测可能是自己手机是双卡未采用标准api来发送短信,等官方发布等版本吧
嗯哼,新版发布了袄支持我的手机啦,再次试了下,居然还是只能提示不能拦截。
漏洞证明:
写个小程序测试下吧。
0x00
api:15||17
phone:i959 android4.2.2
LBE:5.1.5446
0x01
分别使用:标准api、调用短信activity、非标准api、webview代码执行四个方式来发送短信。
部分代码如下:
0x02
开始测试,直接用sendTextMessage发送短信
监控到了哦
可以为什么明明拒绝了最后短信还是发送出去了。这都拦不了,感觉没必要往下测了。
还是继续测webview漏洞来发送短信依旧和只能监控无法拦截。
0x03
对腾讯手机管家、安全管家、360做了对比测试。果然还是数字公司最给力,全部截下。
修复方案:
版权声明:转载请注明来源 瘦蛟舞@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-03-28 13:04
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2014-01-02 13:49 |
4399gdww ( 路人 | Rank:20 漏洞数:4 | )
-
2014-01-22 19:00 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2014-03-29 20:02 |
卖火柴的小男孩 ( 路人 | Rank:23 漏洞数:4 | muyou)