当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118490

漏洞标题:vivo某接口导致大量用户信息泄露(定位手机、报警、抹除数据、获得手机联系人和短信、查看照片、锁定手机等)

相关厂商:vivo智能手机

漏洞作者: 鸟云厂商

提交时间:2015-06-05 19:36

修复时间:2015-07-23 10:10

公开时间:2015-07-23 10:10

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-05: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开

简要描述:

vivo某接口导致大量用户信息泄露(定位手机、报警、抹除数据、获得手机联系人和短信、查看照片、锁定手机等)

详细说明:

官网登录接口

URL:https://passport.vivo.com.cn/v3/web/login/login
POST:client_id=&redirect_uri=&account=*****&pwd=*****&remember=0


简单撞库之后获取了近200个账号
为了用户信息安全,麻烦审核同学帮我mask一下。。

mask 区域 
*****om	ttt*****
*****com	198*****
*****com	362*****
*****com	362*****
*****com	362*****
*****com	125*****
*****com	125*****
*****com	599*****
*****qq.com	1*****
*****q.com	*****
*****com	lpp*****
*****q.com	*****
*****om	12*****
*****q.com	*****
*****.com	2*****
*****q.com	*****
*****com	10*****
*****q.com	*****
*****q.com	*****
*****com	ain*****
*****com	520*****
*****q.com	*****
*****q.com	*****
*****com	81*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****com	252*****
*****.com	6*****
*****com	136*****
*****.com	1*****
*****q.com	*****
*****.com	7*****
*****com	7*****
*****q.com	*****
*****q.com	*****
*****com	z*****
*****q.com	*****
*****[email protected]*****
*****q.com	*****
*****com	zhu*****
*****.com	*****
*****.com	*****
*****com	lwh*****
*****q.com	*****
*****q.com	*****
*****.com	*****
*****com	138*****
*****om	764*****
*****.com	8*****
*****q.com	*****
*****.com	1*****
*****com	106*****
*****.com	*****
*****q.com	*****
*****.com	7*****
*****.com	8*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****.com	4*****
*****com	12*****
*****q.com	*****
*****com	wos*****
*****com	158*****
*****com	18*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****com	1361*****
*****.com	1*****
*****com	21*****
*****com	11*****
*****com	138*****
*****q.com	*****
*****com	1*****
*****q.com	*****
*****.com	x*****
*****com	334*****
*****com	138*****
*****com	103*****
*****q.com	*****
*****q.com	*****
*****com	514*****
*****q.com	*****
*****q.com	*****
*****.com	1*****
*****q.com	*****
*****q.com	*****
*****.com	4*****
*****com	756*****
*****q.com	*****
*****q.com	*****
*****com	330*****
*****com	1*****
*****q.com	*****
*****q.com	*****
*****com	fan*****
*****q.com	*****
*****com	jie*****
*****om	zh19*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****com	1*****
*****om	12*****
*****com	623*****
*****om	12*****
*****com	449*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****om	221*****
*****com	12*****
*****q.com	*****
*****q.com	*****
*****.com	*****
*****q.com	87*****
*****.com	2*****
*****.com	8*****
*****q.com	*****
*****q.com	*****
*****om	12*****
*****q.com	*****
*****q.com	*****
*****com	yjb*****
*****q.com	*****
*****q.com	*****
*****com	12*****
*****q.com	*****
*****com	ww7*****
*****.com	3*****
*****com	ziy*****
*****om	12*****
*****com	137*****
*****q.com	*****
*****com	12*****
*****.com	8*****
*****q.com	*****
*****.com	*****
*****com	asd*****
*****com	200*****
*****.com	w*****
*****q.com	*****
*****q.com	*****
*****.com	1*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****com	12*****
*****q.com	*****
*****com	12*****
*****com	ni*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****.com	*****
*****.com	8*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****com	zha*****
*****q.com	2*****

漏洞证明:

抽了俩用户登录并证明(不是所有用户都开启了安全措施)

屏幕快照 2015-06-05 下午6.43.39.png


屏幕快照 2015-06-05 下午6.50.12.png


屏幕快照 2015-06-05 下午6.50.28.png

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-08 10:08

厂商回复:

非常感谢对我们的关注、支持。

最新状态:

暂无