漏洞详情

披露状态:

2014-09-28: 细节已通知厂商并且等待厂商处理中
2014-09-30: 厂商已经确认,细节仅向厂商公开
2014-10-10: 细节向核心白帽子及相关领域专家公开
2014-10-20: 细节向普通白帽子公开
2014-10-30: 细节向实习白帽子公开
2014-11-12: 细节向公众公开

简要描述:

移动手机卡补办,就这么简单,黑产会非常喜欢这个漏洞!

详细说明:

登录到10086后台,看到有免费升级4G活动,感觉这个地方控制不好,估计会出大问题
地址:http://www.zj.10086.cn/4gcard/
于是有了下面的测试:
1. 先用A手机号登录网站,申请了4G卡,居然可以申请多张,隐隐觉得申请的卡和A没有关系

1.JPG


2. 拿到移动快递过来的卡后(一天就到货,服务不错),卡上面有升级需要用到的临时卡号和临时密码

2.JPG


3. 使用B手机号发送升级短信“HK 临时账号 临时密码”,提示自助换卡已受理,验证了4G卡和申请的卡号没有任何关系

3.JPG


4. 将4G插入任意一台手机设备,会提示激活此卡,激活后重启手机,你会发现手机卡被补办了。
注意是任意一台手机设备,即发送短信手机和激活手机可以不是同一个
在整个过程中,要补办目标手机卡,仅仅只需要目标手机卡给10086发送一条短信

漏洞证明:

故黑阔可以这么来玩:
1. 登录到10086网站,申请4G卡,最多申请4张。
2. 移动将卡快递到黑阔手中。
3. 黑阔利用手机木马(短信拦截功能即可),或者是社工的方式,骗取目标给10086发送一条短信,内容为“HK 4G临时卡号 临时密码”,其中4G临时卡号 临时密码黑阔可以从申请到的卡上获取到。
手机木马和社工在黑产中完全不是问题,很多人靠这个为生。因为是给10086发送短信,社工也很好展开。
4. 目标用户手机发送此短信之后,卡处于被补办状态。
5. 黑阔将此4G卡插入自己的手机中,激活重启后,此4G卡号就变成了目标的手机号码了,此时目标自己手中的卡作废。

修复方案:

验证逻辑加强:
1. 哪个号码申请的,只能升级哪个号码。可以申请多张是出于什么考虑呢?
2. 发送短信的手机和激活手机必须是同设备。

标签: none

评论已关闭