美团网旗下全系列安卓客户端(团购,外卖,商家)升级过程存在缺陷,可被中间人攻击利用植入木马

漏洞概要

缺陷编号:WooYun-2015-0125221

漏洞标题:美团网旗下全系列安卓客户端(团购,外卖,商家)升级过程存在缺陷,可被中间人攻击利用植入木马

相关厂商:美团网

漏洞作者:内谁

提交时间:2015-07-07 19:07

公开时间:2015-10-07 15:30

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认,细节仅向厂商公开
2015-07-12: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-02: 细节向核心白帽子及相关领域专家公开
2015-09-12: 细节向普通白帽子公开
2015-09-22: 细节向实习白帽子公开
2015-10-07: 细节向公众公开

简要描述:

RT

详细说明:

美团旗下APP(安卓端,下同)在升级过程中,校验过程不严格,可以导致被中间人利用,分别如下:1、团购:POST地址为:http://**.**.**.**/combo/v2/combo.json……启动后自动触发这个升级过程,POST包很大,经过分析,仿照正常Response,制作一个假包,并修改数据应答头部以及MSID字段、isUpdated字段、versionname字段、appurl字段即可。当然如果想诱导客户端点击更新按钮,也可以伪造本地更新的日志,这个就不多说了,下面的两款也是一样。值得说明的是,美团旗下的APP均发现了类似强制升级的字段(forceupdate),将其置为true,可造成客户端必须更新,否则无法使用的情况。2、外卖,POST地址为:http://**.**.**.**/api/v6/app/innercheckupdate……启动后自动触发升级过程,需要修改的有appCode字段(这个要和版本号相同XX.XX.XX格式),flag字段,appVersion字段以及url字段,和团购一样,具有forceupdate字段,以及更新日志(description字段),修改后,即可实现攻击。3、商家,GET地址为:http://**.**.**.**/api/v2/appstatus……同样是启动后自动触发升级过程,需要修改的基本和团购相同,就不多说了,看图就好了。

漏洞证明:

修改后的数据包截图:1、美团团购(红色部分为要对应请求包修改的部分,还上传了IMEI等信息,打码……):

2、美团外卖(要修改的部分一目了然):

3、美团商家(要修改的部分一目了然):

劫持会话后造成的结果,截图:1、美团团购:

2、美团外卖:

3、美团商家:

修复方案:

1、修改升级协议2、校验升级文件

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-0915:28

厂商回复:

问题确认,感谢您对美团安全做出的贡献!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    @内谁 常来玩吖

  2. 2010-01-01 00:00 内谁 白帽子 | Rank:61 漏洞数:5)

    @浩天 必须的,经常来学习 :)