腾讯手机QQ无需独立密码直接查看漫游消息

漏洞概要

缺陷编号:WooYun-2012-06531

漏洞标题:腾讯手机QQ无需独立密码直接查看漫游消息

相关厂商:腾讯

漏洞作者:阿鹏

提交时间:2012-04-29 12:38

公开时间:2012-05-04 12:38

漏洞类型:非授权访问/认证绕过

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2012-04-29: 细节已通知厂商并且等待厂商处理中
2012-04-29: 厂商已查看当前漏洞内容,细节仅向厂商公开
2012-05-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

电脑端设置了QQ服务独立密码,手机端QQ可直接查看漫游消息。

详细说明:

电脑端设置了QQ服务独立密码,登陆QQ后查看漫游消息需要输入密码才能查看在线漫游消息。但是手机端QQ登陆后无需输入QQ服务独立密码可以直接查看到漫游消息。我用的是版本是:手机QQ2012(S60V5)Beta2Build1058 其它系统及版本未验证。问题说严重也挺严重的,毕竟手机经常借来借去玩,很多人手机QQ都勾选了“记住密码”,这样可能导致QQ消息泄露。

漏洞证明:

我用QQ自己对话自己(当然 对话别人也是可以的:P)电脑端需要输入服务独立密码才能查看在线漫游消息

手机端QQ无需输入QQ服务独立密码可以直接查看到漫游消息

修复方案:

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-04 12:38

厂商回复:

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    手机和web策略不一致的问题将是个大问题,企鹅啊,好自为之吧