漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0144896
漏洞标题:挖财理财记账Android客户端泄露用户手机短信
相关厂商:杭州财米科技有限公司
漏洞作者: 大头鬼
提交时间:2015-10-05 16:07
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:用户敏感数据泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-05: 细节已通知厂商并且等待厂商处理中
2015-10-06: 厂商已经确认,细节仅向厂商公开
2015-10-09: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航)
2015-11-30: 细节向核心白帽子及相关领域专家公开
2015-12-10: 细节向普通白帽子公开
2015-12-20: 细节向实习白帽子公开
2016-01-11: 细节向公众公开
简要描述:
Android客户端泄露用户手机短信
详细说明:
客户端程序启动后,会在后台开启一个Service组件和动态注册Receiver组件,用于监听手机手机短信,一旦手机有新短信,客户端程序就会读取短信内容,而在在解析短信内容过程中,调用系统log输出接口将短信内容输出,泄露的短信内容。具有读取系统日志权限的应用程序即可读取系统日志,获取手机短信内容。
漏洞证明:
1.客户端基本信息:
被测客户端下载地址:http://www.wacai.com/index/app.action?cmd=finance
apk : com.wacai365, 212, 10.0.2.1, 挖财记账理财
apkmd5: c50010dcefb480e88ec382b3a0ba3720
证书 :
certmd5: 1fa31b6ee1f447c250b12150ef5966f2
issuer: C=CH, ST=Zhejiang, L=Hangzhou, O=caimi, OU=caimi, CN=wacai.clm
subject: C=CH, ST=Zhejiang, L=Hangzhou, O=caimi, OU=caimi, CN=wacai.clm
2.漏洞证明
1.通过反编译后的Java代码分析,客户端程序启动一个Service组件com.wacai365.sms.SmsInterceptReceiver,在该组件的onCreate方法中动态注册了一个Receiver组件,用于监听短信数据库:
Receiver组件com.wacai365.sms.SmsInterceptReceiver:
com.wacai365.sms.SmsInterceptReceiver类中的a(Intent paramIntent)方法用于解析短信内容,红色框标出了输出短信内容的log输出代码:
将客户端程序装入模拟器中,通过DDMS向模拟器发送短信信息,此时DDMS的logcat显示了客户端程序输出的短信内容:
修复方案:
建议客户端程序输出log输出代码。
版权声明:转载请注明来源 大头鬼@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2015-10-06 21:51
厂商回复:
感谢您的关注!!
最新状态:
暂无