当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101170

漏洞标题:《挖财记账理财》可以手势密码可以绕过

相关厂商:杭州财米科技有限公司

漏洞作者: 晨曦遇晓

提交时间:2015-03-13 16:53

修复时间:2015-06-11 22:04

公开时间:2015-06-11 22:04

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-13: 细节已通知厂商并且等待厂商处理中
2015-03-13: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-05-07: 细节向核心白帽子及相关领域专家公开
2015-05-17: 细节向普通白帽子公开
2015-05-27: 细节向实习白帽子公开
2015-06-11: 细节向公众公开

简要描述:

《挖财记账理财》的手势密码可以被绕过。用户设置了手势密码后,本来应该是需要输入手势密码后才可以进行其他操作,但这个不是。
使用am命令时,要在出现手势密码输入那个界面再使用am命令打开。

详细说明:

(1)app详情。

app信息.png


(2)当用户再次打开该app时,需要输入手势密码。

手势密码.png


(3)该app暴露的activity,还真是多。

暴露组件.png


(4)使用am命令打开一个activity。

am.png


(5)打开的界面。

打开的界面.png


(6)可以看到里面的一些信息,还可以进行评论。

周扒皮.png


漏洞证明:

使用am命令时,要在出现手势密码输入那个界面再使用am命令打开。(要不然程序没启动就使用又把我毙了)
上面的只是17中的一个例子,其他的还有,就不贴图了。

修复方案:

没事暴露那么多组件干嘛

版权声明:转载请注明来源 晨曦遇晓@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-06-11 22:04

厂商回复:

非常感谢您的报告!!

最新状态:

暂无