当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144074

漏洞标题:嘀嘀打车客户端多处安全问题(钓鱼/拒绝服务等)

相关厂商:小桔科技

漏洞作者: 路人甲

提交时间:2015-09-29 16:14

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-29: 细节已通知厂商并且等待厂商处理中
2015-10-06: 厂商已经确认,细节仅向厂商公开
2015-10-09: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-11-30: 细节向核心白帽子及相关领域专家公开
2015-12-10: 细节向普通白帽子公开
2015-12-20: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

哎,把乌云币花完了前一段时间。居然zone限制五个以下不能进入!靠!但愿这个能给我赚五个乌云币把。。。

详细说明:

一、详细说明:
1. 钓鱼漏洞 com.sdu.didi.psnger com.didi.frame.O2OWebToActivity 无任何权限限制导出。任何应用都可以唤起该组件。并且该组件接受外部intent的uri ,并且显示。从而导致外部攻击者可以直接操作滴滴的应用界面。攻击者可以利用该漏洞进行:钓鱼攻击,广告推广或者拒绝服务攻击(唤起一个包含无限循环弹窗(javascript:alert)的网页).POC:
向组件:com.sdu.didi.psnger com.didi.frame.O2OWebToActivity 发送intent,带data-uri 数据 --data-uri "didipasnger://didi_o2o_host?o2ourl=http://**.**.**.**"

didi_fishing.png


注意这是滴滴打车的Activity显示的。由攻击者操作的内容。这里只是显示了百度的首页,其实这个网页内容是由攻击任意操作的!任何内容都可能。一个攻击场景是:攻击者显示一个网页,该网页首先显示一个弹出窗说:登陆超时,请重新登录。然后显示一个登录框! 很多用户都可能上当而被钓鱼走用户名密码!
总之,很严重!
2. 订单号遍历漏洞和订单信息泄露漏洞
组件: --component com.sdu.didi.psnger com.didi.beatles.ui.activity.h5.BtsH5LaunchActivity
发起intent,带有data-uri diditravel://com.didi.passengerapp/beatles_driver_orderdetail?productid=259&orderid=MjQ1Mjc3Nzk4MjE1OQ==&routeid=
在orderid正确和错误两种情况,页面返回不一样,所以,可以通过不断的发起这个请求,并且通过页面返回来遍历orderid.
图片如下:
当订单存在的情况

didiorder1.png


当订单不存在的情况下:

didiorder2.png


滴滴打车App 一处暴露的service,任何App都可以无权限访问,访问时会导致整个app崩溃.若被攻击者恶意使用。将导致DOS攻击。
component : com.sdu.didi.psnger **.**.**.**mon.download.DownService
截图如下:

didi_crash.png


可以看到日志中有这样的信息:
因为字数限制删掉了。
可以知道,是因为在AndroidManifest里面定义了Service: com.sdu.didi.psnger **.**.**.**mon.download.DownService并且导出。但是,真实的de'x里面却根本不存在这个类,并且exception没有做catch处理。 从而导致整个程序的崩溃。
其他可以直接导致滴滴打车崩溃的攻击方法还有:
滴滴导出的component无权限接受任何外部intent的唤起。 在唤起时会导致整个应用程序的崩溃。 从而导致拒绝服务攻击。
漏洞组件:component com.sdu.didi.psnger com.didi.game.activity.GameEngineRuntimeActivity
2. 导致程序崩溃,拒绝服务攻击 com.sdu.didi.psnger com.didi.frame.WebToActivity --data-uri "didipasnger://common_marketing_host?openid=11111&code=22222"3. 导致程序崩溃,拒绝服务攻击
--component com.sdu.didi.psnger com.didi.frame.O2OWebToActivity4. 其他拒绝服务攻击的场景!! 还非常多!! 啊!太多了! 一一列举发觉不可能了

漏洞证明:

--

修复方案:

--

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-06 17:24

厂商回复:

收到,感谢!但客户端漏洞修复周期会相对较长。

最新状态:

暂无


漏洞评价:

评价