某省电信机主信息(姓名、住址、身份证号)存在泄漏风险,话费余额可被消费

漏洞详情

披露状态:

2014-04-06: 细节已通知厂商并且等待厂商处理中
2014-04-11: 厂商已经确认,细节仅向厂商公开
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-21: 细节向公众公开

简要描述:

电信啊,啧啧啧..

详细说明:

首先,从豌豆荚应用商店下载并安装"江苏电信掌上营业厅"。

01.jpg



在登录界面填入任意江苏省电信的手机号,获取一条短信密码。

02p.jpg



抓包可以看到,短信验证码就在返回的内容中,用这个验证码即可登录掌上营业厅。

03p.jpg



这里可以看到流量、话费、积分等信息,这都不是关键。我们点击图上红框部分,

04p.jpg



可以看到,虽然APP输出的信息有打码,但实际上HTTP请求返回的数据没有打码..(为了保护隐私,图片做了模糊处理)

我们又用同样的方法,随机登录了几个手机号,确认了漏洞存在。同时发现每个手机号都有绑定身份证,但用户住址则不一定有。

至此,我们可以实现:查询任意江苏电信手机号的话费、积分、流量、机主的姓名、住址,以及身份证号。

有了这些资料,还能做什么呢?

我们登录江苏电信网上营业厅 http://js.189.cn/ 登录-找回密码-在线重置

05p.jpg



来到了这个页面:

06.jpg



我们填入手机号和对应的身份证号,来到下一步

07.jpg



发送短信验证码看看,天啊电信你是有多喜欢返回验证码?

08.jpg



于是把密码改为998877:

09.jpg



成功登录网上营业厅:

10.jpg



试试看开通一个收费的包月业务:

11.jpg



12.jpg



13.jpg



成功开通,无需任何验证码

14.jpg



更多危害这里不再赘述。

漏洞证明:

两千万用户哇..

18.jpg





16.jpg



15.jpg



17.jpg

修复方案:

电信更专业:)

版权声明:转载请注明来源 超威蓝猫@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-04-11 14:08

厂商回复:

CNVD确认所述情况(验证过程受CNVD团队验证条件所限,未直接全部复现),已经转由CNCERT下发给江苏分中心,由其后续协调当地基础电信企业处置。

最新状态:

暂无


漏洞评价: