中兴客户端漏洞可能导致大量手机更新被替换风险(手机升级机制设计不当)

漏洞详情

披露状态:

2014-02-24: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-05-22: 细节向公众公开

简要描述:

客户端数据传输未加密,导致账户泄露

详细说明:

之前要给中兴手机升级

下了个中兴升级工具 每次在线下载的时候都失败

想抓包看看下载地址 发现直接提供ftp地址 账户 和密码

三个地址 有一个是内网的

通过登陆另外两个 好多文件夹 翻着好费劲 找了半天 找到了

今天想整个乌云账号 想起它 不知道可不可以

网站直接提供文件下载 有多难啊 我刷个机费了一天。。。

官网没链接 工具不提供本地文件支持 为什么要这样



我想既然提供了ftp的账户应该是有上传之类的权限 要不没必要用账户吧

这样的话直接替换掉里面的文件 修改成带木马的

比如rom加个假的支付宝客户端 exe加木马

不知道各个工厂售后是不是也用这些ftp升级

那所有手机都改成带木马的 客户端应该是直接刷机不验证rom的

登陆网站直接下了个中兴的软件 告诉说中兴抽奖环球旅游 就是先交税到支付宝

应该也很容易成功吧

受害者告中兴公司诈骗 不知会不会

ftp如果有重要资料 应该没有哈

就算是别的工具 应该也是不想公开的 要不干吗设个账户

给发网上 当然对需要刷机资料的是好事啊 其实也没什么 哈哈

所以很严重 数亿这个级别很恰当啊

通过必须要 邀请必须有啊

漏洞证明:

手机不在 没法重现 意思一下

QQ截图20140223154528.png



升级的时候客户端工具自动查询下载

QQ截图20140223154600.png



设置代理

QQ截图20140223155041.png



在记录中看到ftp的账户 密码 地址

客户端在线获取 ftp 地址 账户 密码

通过抓包可获取

修复方案:

另设个服务器 把可以公开的文件 直接提供地址下载

版权声明:转载请注明来源 白帽子的无常@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-02-25 08:22

厂商回复:

经验证,抓包获取的FTP服务器的用户名和密码只有只读权限,感谢关注

最新状态:

暂无


漏洞评价: