漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0126969
漏洞标题:健康之路手机APP任意用户登录+接口越权导致用户敏感信息泄露(个人数据上亿条)(姓名/身份证/家庭住址/就医记录等)
相关厂商:福建健康之路信息技术有限公司
漏洞作者: h0FF
提交时间:2015-07-15 22:08
修复时间:2015-09-03 22:10
公开时间:2015-09-03 22:10
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-15: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
用户量来源于官方统计:
医护网(www.yihu.com)是健康之路公司旗下面向社会化大众提供专业健康服务的网络平台。
健康之路服务范围目前已覆盖大陆各省市和香港等地,在全国各省直辖市均设立有分公司或办事处机构,已合作近万家知名医院、近1000家深度合作的医院、覆盖超过80%的三甲医院、近百万名医生,每年为全国超过1500万家庭用户、近1亿个人用户提供寻医问诊、预约挂号、导医导诊、就医指导、双向转诊及各类患者增值等服务。
详细说明:
#### 测试的是Android端APP,从官网最新下载的版本是 3.25 ####
#### 任意用户登录 ####
(1)本地配置文件com.yihu.medical_preferences.xml中记录了用户的登录帐号(手机号)、用户id、明文密码等信息
(2)修改其中的登录帐号、用户id,即可成功登录其他用户,不需要密码
(3)另外还有个接口,存在信息泄露的问题,可以获取到注册用户的手机号,也就是登录帐号
圈子里可以发帖,显示的用户手机号是部分屏蔽的,如图
但是接口获取到的数据是完整的,只是界面显示做了屏蔽,抓包看就可以,如图
(4)利用获取到的手机号,就可以实现登录对应的帐号,获取其中的敏感信息,以下截取一部分作为证明
意外发现女神预约了妇产科,她是怀孕了吗,这心里哇凉哇凉的。。。。
#### 还有个接口,可以越权直接获取用户敏感信息,实现批量获取,如图 ####
漏洞证明:
见详细说明
修复方案:
登录机制、接口鉴权、本地敏感信息明文保存。。。好好修复一下吧
IOS版没有测试,估计存在同样的问题,一起修了吧
版权声明:转载请注明来源 h0FF@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-07-20 22:10
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无