漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-07593
漏洞标题:QQ客户端好友等级PK泄露用户登录状态
相关厂商:腾讯
漏洞作者: 我真的不帅
提交时间:2012-05-28 10:15
修复时间:2012-05-29 09:55
公开时间:2012-05-29 09:55
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-05-28: 细节已通知厂商并且等待厂商处理中
2012-05-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
我知道这个问题很有可能被腾讯忽略,但是我还是要提交,因为我觉得它是一个问题
详细说明:
先插一句题外话,信息安全的核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标,我认为这个违反了保密性这个原则,至少从用户角度。
在新版的QQ客户端有一个我的等级按钮,点击进去之后,在我的Q等级小窗口里面有一个等级PK,这个东西可以看到QQ好友昨天QQ等级升级增加的天数,从而间接暴露了QQ好友昨天有没有上线这个信息,
这个或许不会造成什么安全问题,但是从一个严格的逻辑角度来说,用户在某天的QQ等级加速天数应该是他自己的隐私,应该是保密的。
目前这种情况下,哪怕好友24小时隐身,你一样可以看到他昨天等级增加了1.9天什么的,从而判断出此人昨天在线超过2小时了
一句话,违反了保密性原则,因为这个信息个人认为应该属于用户隐私,尤其是在24小时隐身的情况下,仍可以被人判断出昨天在线是0还是不足2小时,还是超过2小时了
漏洞证明:
很简单,QQ客户端上面点那个LV48类似的按钮可以打开,我的Q等级,然后那个等级PK,可以看到QQ好友昨天升级天数
修复方案:
我觉得一个严格的腾讯,应该可以让用户设置,是否允许好友与你进行等级PK(可能暴露你昨天的QQ加速天数)
版权声明:转载请注明来源 我真的不帅@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-05-29 09:55
厂商回复:
感谢您的报告!经过评估,我们暂未找到可被利用的场景,如有其他发现,敬请告知,多谢!
最新状态:
暂无