当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0109171

漏洞标题:百度财富Android客户端设计缺陷可清除手势密码

相关厂商:百度

漏洞作者: Nicky

提交时间:2015-04-22 12:36

修复时间:2015-07-21 16:32

公开时间:2015-07-21 16:32

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-22: 厂商已经确认,细节仅向厂商公开
2015-04-25: 细节向第三方安全合作伙伴开放
2015-06-16: 细节向核心白帽子及相关领域专家公开
2015-06-26: 细节向普通白帽子公开
2015-07-06: 细节向实习白帽子公开
2015-07-21: 细节向公众公开

简要描述:

百度财富是由百度公司推出的一款投资理财类手机软件。百度财富支持移动端开户,你无需页面跳转、无需开通网页,即可完成开户进行交易。为用户优选了2600余支产品,并通过便捷的购买、高度的安全性能和全面的信息,让用户可以多维度、轻松选择适合自己的高收益投资理财产品。百度财富Android最新版客户端设计缺陷可清除手势密码,可能影响用户资金安全。

详细说明:

1.手势密码的产生一般是为了解决用户手机不在手上或者遗失时避免被人直接登录帐号,造成资金损失,百度财富客户端支持启用手势密码,但这个保护用户资金安全的功能设计上却有不少缺陷~

S50420-111252.jpg


2.百度财富开启手势密码后,会保存用户设置的手势密码在/data/data/com.baidu.vsfinance/filesgesture_lock.obj 文件中

S50420-111320.jpg


3.仔细看两眼就会发现,手势密码其实是明文保存的,最后的x前的几位数字就是用户的手势密码

S50420-111337.jpg


F0F5F6F8-1C07-493D-9BA9-2CEBFA9F6763.png


漏洞证明:

4.测试发现:只要修改此文件或者直接删除此文件就能清除手势密码(需要ROOT权限,但手势密码是争对手机不在用户手上的情况的,ROOT是分分钟的事,所以没啥利用条件)

S50420-112836.jpg


修复方案:

多因素验证?

版权声明:转载请注明来源 Nicky@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-04-22 16:30

厂商回复:

感谢关注,已提交相关部门处理

最新状态:

暂无


漏洞评价:

评论