当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080287

漏洞标题:360等手机浏览器信任自签名证书(可能导致劫持风险加剧)

相关厂商:cncert

漏洞作者: 问题来了

提交时间:2014-10-21 21:07

修复时间:2015-04-02 11:03

公开时间:2015-04-02 11:03

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:11

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-21: 细节已通知厂商并且等待厂商处理中
2014-10-22: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-12-16: 细节向核心白帽子及相关领域专家公开
2014-12-26: 细节向普通白帽子公开
2015-01-05: 细节向实习白帽子公开
2015-04-02: 细节向公众公开

简要描述:

近期发生icloud/yahoo等站点的劫持现象,劫持后一般浏览器会弹出站点签名不一致的风险提醒,用户可以通过此提醒迅速定位自己已被劫持,避免输入账号、密码后被窃取。但是经过测试发现有少数手机浏览器未正常实现此功能,让用户默默的被劫持着。比如360、猎豹、搜狗手机浏览器。

详细说明:

访问被劫持的苹果中国,没有任何提示~

m360.jpg


换个做了证书hostname判断的浏览器试试

遨游.jpg


再做个实验:访问使用天融信自签名证书的站点,依旧没任何提示直接进入

m3602.jpg


换个正常的浏览器做对比

天融信自签名证书.jpg


为了更严谨一点,我在手机端设置代理,将手机流量代理到PC的软件fiddler中,这样手机浏览器访问https站点收到的将会是fiddler的证书(手机并未安全fiddler的证书),然后通过360浏览器打开https://github.com。依旧没有任何ssl错误的提醒,确认有证书盲注信任的漏洞。

漏洞证明:

同样存在问题的还有搜狗、猎豹手机浏览器

猎豹2.jpg


搜狗.jpg


UC、百度、chrome等其他浏览器均正常

mUC.jpg


baidu.jpg

修复方案:

版权声明:转载请注明来源 问题来了@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-02 11:03

厂商回复:

类似安全功能属于增强型功能,不能作为内生性漏洞风险范畴,提前公开,待各厂商关注。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-21 22:52 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    “Qihoo’s popular 360 secure browser is anything but and will load the MITMed page directly,” GreatFire warned. But if Chinese users run Firefox or Chrome, then both browsers will refuse to access the fake iCloud.com site; warnings like those are not ones to ignore and visit the malicious site anyway. ” 我英文不及格,就认识数字。谁看懂了?

  2. 2014-10-21 23:00 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    为什么转cncert

  3. 2014-10-22 10:06 | 问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)

    http://www.computerworld.com/article/2836084/chinese-big-brother-launches-nationwide-attack-on-icloud.html

  4. 2014-10-22 11:35 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    大表哥。。。