当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125221

漏洞标题:美团网旗下全系列安卓客户端(团购,外卖,商家)升级过程存在缺陷,可被中间人攻击利用植入木马

相关厂商:美团网

漏洞作者: 内谁

提交时间:2015-07-07 19:07

修复时间:2015-10-07 15:30

公开时间:2015-10-07 15:30

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认,细节仅向厂商公开
2015-07-12: 细节向第三方安全合作伙伴开放
2015-09-02: 细节向核心白帽子及相关领域专家公开
2015-09-12: 细节向普通白帽子公开
2015-09-22: 细节向实习白帽子公开
2015-10-07: 细节向公众公开

简要描述:

RT

详细说明:

美团旗下APP(安卓端,下同)在升级过程中,校验过程不严格,可以导致被中间人利用,分别如下:
1、团购:
POST地址为:http://api.meituan.com/combo/v2/combo.json……
启动后自动触发这个升级过程,POST包很大,经过分析,仿照正常Response,制作一个假包,并修改数据应答头部以及MSID字段、isUpdated字段、versionname字段、appurl字段即可。
当然如果想诱导客户端点击更新按钮,也可以伪造本地更新的日志,这个就不多说了,下面的两款也是一样。
值得说明的是,美团旗下的APP均发现了类似强制升级的字段(forceupdate),将其置为true,可造成客户端必须更新,否则无法使用的情况。
2、外卖,POST地址为:http://api.waimai.meituan.com/api/v6/app/innercheckupdate……
启动后自动触发升级过程,需要修改的有appCode字段(这个要和版本号相同XX.XX.XX格式),flag字段,appVersion字段以及url字段,和团购一样,具有forceupdate字段,以及更新日志(description字段),修改后,即可实现攻击。
3、商家,GET地址为:http://www.meituan.com/api/v2/appstatus……
同样是启动后自动触发升级过程,需要修改的基本和团购相同,就不多说了,看图就好了。

漏洞证明:

修改后的数据包截图:
1、美团团购(红色部分为要对应请求包修改的部分,还上传了IMEI等信息,打码……):

1.png


2、美团外卖(要修改的部分一目了然):

2.png


3、美团商家(要修改的部分一目了然):

3.png


劫持会话后造成的结果,截图:
1、美团团购:

Screenshot_2015-07-07-16-52-32.png


2、美团外卖:

Screenshot_2015-07-07-17-16-45.png


3、美团商家:

Screenshot_2015-07-07-17-13-26.png

修复方案:

1、修改升级协议
2、校验升级文件

版权声明:转载请注明来源 内谁@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-09 15:28

厂商回复:

问题确认,感谢您对美团安全做出的贡献!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-07 19:07 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @内谁 常来玩吖

  2. 2015-07-07 21:25 | 内谁 ( 实习白帽子 | Rank:81 漏洞数:5 | 我是内谁)

    @浩天 必须的,经常来学习 :)