当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144896

漏洞标题:挖财理财记账Android客户端泄露用户手机短信

相关厂商:杭州财米科技有限公司

漏洞作者: 大头鬼

提交时间:2015-10-05 16:07

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-05: 细节已通知厂商并且等待厂商处理中
2015-10-06: 厂商已经确认,细节仅向厂商公开
2015-10-09: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-11-30: 细节向核心白帽子及相关领域专家公开
2015-12-10: 细节向普通白帽子公开
2015-12-20: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

Android客户端泄露用户手机短信

详细说明:

客户端程序启动后,会在后台开启一个Service组件和动态注册Receiver组件,用于监听手机手机短信,一旦手机有新短信,客户端程序就会读取短信内容,而在在解析短信内容过程中,调用系统log输出接口将短信内容输出,泄露的短信内容。具有读取系统日志权限的应用程序即可读取系统日志,获取手机短信内容。

漏洞证明:

1.客户端基本信息:
被测客户端下载地址:http://www.wacai.com/index/app.action?cmd=finance
apk : com.wacai365, 212, 10.0.2.1, 挖财记账理财
apkmd5: c50010dcefb480e88ec382b3a0ba3720
证书 :
certmd5: 1fa31b6ee1f447c250b12150ef5966f2
issuer: C=CH, ST=Zhejiang, L=Hangzhou, O=caimi, OU=caimi, CN=wacai.clm
subject: C=CH, ST=Zhejiang, L=Hangzhou, O=caimi, OU=caimi, CN=wacai.clm
2.漏洞证明
1.通过反编译后的Java代码分析,客户端程序启动一个Service组件com.wacai365.sms.SmsInterceptReceiver,在该组件的onCreate方法中动态注册了一个Receiver组件,用于监听短信数据库:

1.png


Receiver组件com.wacai365.sms.SmsInterceptReceiver:

2.png


com.wacai365.sms.SmsInterceptReceiver类中的a(Intent paramIntent)方法用于解析短信内容,红色框标出了输出短信内容的log输出代码:

3.png


将客户端程序装入模拟器中,通过DDMS向模拟器发送短信信息,此时DDMS的logcat显示了客户端程序输出的短信内容:

4.png

修复方案:

建议客户端程序输出log输出代码。

版权声明:转载请注明来源 大头鬼@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-06 21:51

厂商回复:

感谢您的关注!!

最新状态:

暂无


漏洞评价:

评价