当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041206

漏洞标题:腾讯qq android客户端一定条件下可导致信息泄露

相关厂商:腾讯

漏洞作者: jadore

提交时间:2013-10-27 20:00

修复时间:2013-10-30 10:43

公开时间:2013-10-30 10:43

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-27: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用户的个人信息应该得到保护,在一定程度上说,即使本机本用户也仅仅可以从客户端来查看相关信息

详细说明:

腾讯手机qq android版对用户的数据库未做加密处理,用户不仅仅可以轻松查看自己qq上的好友,群及聊天记录。也可以查看其他人用自己手机登陆的其他号码的相关信息。
对于这个问题,首先来假设一下应用场景:
1.用户从客户端查看自身相关信息没问题,无法查看其他人用自己手机登陆且已退出并且未保存密码的qq的信息,这个逻辑是对的。但是android版的qq可以通过数据库,在不通过客户端的情况下就可以查看到自己qq的相关信息,以及其他人用自己手机登陆过的,且无需密码即可查看该qq的相关信息,从造成个人信息泄露
2.如果用户的手机丢失,那么该手机上登陆过的qq的相关信息即可被当前手机拥有者轻松获取
3.如果有恶意软件,或者通过浏览器漏洞,可以轻松获取到一台手机上的所有登陆过的qq的各种信息
4.当然还有其他未知的可能造成用户的个人的个人隐私的泄露
综上,我认为需要对相关数据库做加密处理

漏洞证明:

我们进入到手机qq的相关数据库的文件夹内,用sqlite3可以轻松打开其中的各个库与表

1.png


然后我们选择一个账号的db

2.png


我们发现可以轻松打开,并且选择其中的friends表

3.png


我们发现了这个在我手机上登陆过,但是我不知道密码的qq的详细好友信息
信息量很大!!!
然后我们在去看看聊天记录的表

4.png


然后我们将数据库导出,在本地测试依旧可以顺利打开

5.jpg


6.jpg


7.jpg


8.jpg


而我们对比腾讯在PC上的处理,明显觉得android上问题很大

9.jpg


10.jpg


修复方案:

作为社交软件,对相关敏感数据库还是做一下加密处理好些

版权声明:转载请注明来源 jadore@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-30 10:43

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无