魅族科技可能会泄露用户手机号码

漏洞概要

缺陷编号:WooYun-2012-016339

漏洞标题:魅族科技可能会泄露用户手机号码

相关厂商:魅族科技

漏洞作者:imlonghao

提交时间:2012-12-21 20:41

公开时间:2012-12-26 20:41

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2012-12-21: 细节已通知厂商并且等待厂商处理中
2012-12-21: 厂商已查看当前漏洞内容,细节仅向厂商公开
2012-12-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

虽然我没有MX,但是我是一个好的煤油!
如果你愿意,请让我成为一名正式的煤油!
-:)

详细说明:

漏洞出在手机号码查询订单的地方,提交一个手机号码时,会提示该手机是否曾经提交过订单,同时,验证码纯属摆设,没有一个失效,允许同一个验证码进行多次查询。利用:非法分子得到魅族用户手机号码——)发送广告短信或进行其他欺骗等(指定对象)

漏洞证明:

burp suite 下的入侵者功能!

跑了一下,成功了许多!如果无法复现成功,欢迎与我联系!

修复方案:

赠送一部MX2!!!!))验证码一次性使用,使用一次即失效!

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-12-26 20:41

厂商回复:

最新状态:

2013-01-05:我们已经知悉并尽快处理,谢谢!

评价

  1. 2010-01-01 00:00 Clar 白帽子 | Rank:5 漏洞数:2)

    。。。。。 我感觉自己犯罪了,突然间这么多关于魅族的漏洞信息。。。。

  2. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @Clar 准确来说是看到魅族有了回应..所以就发了...他连续忽略4个漏洞....

  3. 2010-01-01 00:00 Clar 白帽子 | Rank:5 漏洞数:2)

    @imlonghao 呵呵 确实

  4. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    不错,支持,作为煤油希望魅族越来越安全

  5. 2010-01-01 00:00 笨小孩 白帽子 | Rank:40 漏洞数:4)

    支持,不但发现不但完善....

  6. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    他们肯定不给你。