联想X330空气净化器绕过用户绑定可任意控制他人设备漏洞

漏洞概要

缺陷编号:WooYun-2015-0124795

漏洞标题:联想X330空气净化器绕过用户绑定可任意控制他人设备漏洞

相关厂商:联想

漏洞作者:宋兵甲

提交时间:2015-07-06 00:03

公开时间:2015-08-20 12:12

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-06: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-16: 细节向核心白帽子及相关领域专家公开
2015-07-26: 细节向普通白帽子公开
2015-08-05: 细节向实习白帽子公开
2015-08-20: 细节向公众公开

简要描述:

使用错误的设备密码调用联想X330净化器的特定接口,服务器会返回正确的密码,利用这个正确的设备密码,就可以控制任意在线的X330设备。由于使用了同款APP,该漏洞同时影响到Luftmed多款净化器设备。

详细说明:

X330的设备ID没有贴在机器上,而是放在液晶显示屏里,其特别之处在于,可以通过“更新连接”按钮,导致每次生成的二维码扫描结果不一样,扫描出来的结果形如“ef23fbf000000824a221a23667400000#X33010002399MGJ4”,其中“ef23fbf000000824a221a23667400000”是用户id,“X33010001152”是设备id,“MGJ4”进过后续分析得知是设备密码,这个密码每次更新连接都会变化。但当构造类似下面的注册设备指令时:/kqjhq/user/addApparatus.do?u=ef23fbf000000824a221a23667400000&a=X33010002399GYUH&n=&t=&p=哪怕传的是错误的密码,服务器也会通过JSON把正确的密码返回过来:

设备的控制指令是通过TCP协议直接传数据实现的,拿到了设备密码,根据规则构造控制指令,就可以控制任意在线设备。

漏洞证明:

修复方案:

1、服务器建议不要返回正确密码,这没有任何必要。2、密码太短,只有4位,哪怕不返回,也可以很快枚举出来。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-0612:10

厂商回复:

非常感谢提交漏洞。

最新状态:

暂无

评价