当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151973

漏洞标题:TCL手机某内置APP远程管理认证机制绕过(窃取照片\隐私\文件)

相关厂商:TCL官方网上商城

漏洞作者: DNS

提交时间:2015-11-05 10:35

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-05: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经确认,细节仅向厂商公开
2015-11-12: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2016-01-03: 细节向核心白帽子及相关领域专家公开
2016-01-13: 细节向普通白帽子公开
2016-01-23: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

RT
内置APP,权限是啥?
root?

详细说明:

TCL么么哒软件,TCL支持hotknot,手机内置这个应用,借用闪传的低版本么么哒,实现无线传输
在TCL多款支持hotknot的手机上均存在这个内置软件
我买了三部TCL手机
初学app,思路太浅显
影响安装这款软件所有手机
首先说下这个软件内置一个web服务器
在这个么么哒启动的时候就会自动启动web服务器,不需要人为干预
这里就已经出现漏洞

1.png


2.png


3.png


开启服务.png


开放的端口是6789
闪传版本是33455(貌似)
Jetty(i-jetty V0.1 for TCL M2U)--测试手机 TCL M2U
大家会问了,我不开启这个软件,你就拿我没办法了。。。
下面就是第二个问题
本地组件暴露导致提权,只要用户安装么么哒,无需任何权限的本地恶意应用启动供该软件,然后启动WEB服务器

4.png


以下为测试组件

shell@msm8916_32:/ $ am start -n cn.shanchuan.momoda/cn.andoumiao2.messenger.Con
nectFriendFragmentActivity


ps:如果该软件从来没用过,通过该组件启动,web服务器会出现404
手机IP **.**.**.**:6789

22.JPG


web页面

5.png


然而是需要密码的,但是密码4位纯数字
没错 可以爆破
由于初学,没有找到获取密码的地方

6.png


4位数,几分钟就OK了

7.png


我这里是锤子手机,所以并不是root权限,不能控制手机存储。
这里就可以控制手机里面的文件了
什么替换安装包啊,获取通讯录啊
窃取照片啊,干嘛都可以了。对不对,
还有部分参数
搞清楚了部分

**.**.**.**:6789/waiter/waitingAllIPOnWifi?allclientIP=**.**.**.**&status=kick  踢下线某IP
8.png




**.**.**.**:6789/waiter/waitingClientIPOnAP?clientIP=AP&status=offline
**.**.**.**:6789/waiter/shareSomethingOnMessage
                   /waiter/namecard   send My Verification 发送我的验证
                   /waiter/waitingClientIPOnAP?clientIP=AP&status=offline
**.**.**.**:6789/waiter/waitingAllIPOnWifi?allclientIP=


这里IP是手机开热点,其他手机么么哒,所在IP段,默认192.168.43.网段

漏洞证明:

视频http://**.**.**.**/s/1qWmrZQk

6.png

修复方案:

不知道啊

版权声明:转载请注明来源 DNS@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-11-09 15:29

厂商回复:

正在联系通讯的同事进行整改,感谢您对TCL的关注。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-11-05 10:36 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    蜂窝网络下面可以不?

  2. 2015-11-05 10:50 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯狗 wifi下可以的话,蜂窝下应该也行。。

  3. 2015-11-05 11:08 | DNS ( 普通白帽子 | Rank:711 漏洞数:73 | root@qisec.com)

    @疯狗 能互访就能吧

  4. 2015-11-05 11:54 | huc-ray ( 路人 | Rank:25 漏洞数:9 | 菜鸟一枚)

    没¥¥

  5. 2015-11-05 12:01 | little_bird ( 路人 | Rank:1 漏洞数:1 | 低调求发展)

    卧槽,TCL通杀啊...

  6. 2015-11-05 12:04 | 红客十年 ( 普通白帽子 | Rank:376 漏洞数:76 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    吓得我已经砸了手机。。。

  7. 2015-11-05 12:36 | little_bird ( 路人 | Rank:1 漏洞数:1 | 低调求发展)

    目测洞主是个用tcl的屌丝

  8. 2015-11-05 12:38 | DNS ( 普通白帽子 | Rank:711 漏洞数:73 | root@qisec.com)

    @little_bird 麻痹 买了三个TCL

  9. 2015-11-05 12:55 | little_bird ( 路人 | Rank:1 漏洞数:1 | 低调求发展)

    @DNS买3个都不到一千块?

  10. 2015-11-05 15:11 | king7 ( 普通白帽子 | Rank:1623 漏洞数:237 )

    表哥,我日你个奶子的

  11. 2015-11-05 15:21 | DNS ( 普通白帽子 | Rank:711 漏洞数:73 | root@qisec.com)

    @king7 卧槽 表哥 没$$ 唉。。。

  12. 2015-11-05 15:24 | DNS ( 普通白帽子 | Rank:711 漏洞数:73 | root@qisec.com)

    @DNS 表哥 你特么消失好久了

  13. 2015-11-05 15:33 | king7 ( 普通白帽子 | Rank:1623 漏洞数:237 )

    @DNS 最近工作忙啊,分都被你快超过了

  14. 2015-11-05 15:37 | JiuShao ( 普通白帽子 | Rank:453 漏洞数:99 | ╮(╯▽╰)╭锄禾日当午)

    后排前来顶人气

  15. 2015-11-05 15:49 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    我把手机丢进水里,拎起来用冲击钻钻穿了,又丢进碎肉机搅了一下。然后把碎片丢进了垃圾桶,怕大神捡起来拼上,又在上面拉了翔。这样安全了吗?请允许我偶尔恶心那么一次。

  16. 2015-11-05 17:02 | huc-ray ( 路人 | Rank:25 漏洞数:9 | 菜鸟一枚)

    。。。。。