漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某火爆陌生人社交APP的用户聊天视频可任意访问(福利多多)
相关厂商:陪陪
提交时间:2015-02-02 13:26
修复时间:2015-04-30 18:48
公开时间:2015-04-30 18:48
漏洞类型:非授权访问/认证绕过
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-02-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
标题已经很详细了
详细说明:
样本没有做加壳处理, 只是做了简单的混淆,然后直接看BaiduBcs的调用, 找到初始化的地方。
发现使用百度云存储 保存用户的聊天视频.
访问key 明文保存于代码中. 并且该key具有列目录的权限


漏洞证明:
调用百度SDK进行查询
http://developer.baidu.com/wiki/index.php?title=docs/cplat/bcs/sdk

修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:8 (WooYun评价)
漏洞评价:
评论
-
2015-04-04 10:42 |
My.Dream ( 普通白帽子 | Rank:111 漏洞数:24 | 大神别打我)