[公开漏洞]乐视TV APP漏洞可获取账户与充值等敏感信息

来源：WooYun　浏览：1100次　时间：2014-05-22

乐视TV APP漏洞可获取账户与充值等敏感信息相关厂商：乐视网漏洞作者：进化程序猿提交时间：2014-04-07 13:42 公开时间：2014-05-22 13:42 漏洞类型：敏感信息泄露危害等级：高自评Rank：19 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：乐视用户信息泄露乐视TV 用户帐户信息漏洞详情披露状态：

2014-04-07：细节已通知厂商并且等待厂商处理中
2014-04-07：厂商已经确认，细节仅向厂商公开
2014-04-17：细节向核心白帽子及相关领域专家公开
2014-04-27：细节向普通白帽子公开
2014-05-07：细节向实习白帽子公开
2014-05-22：细节向公众公开

简要描述：

乐视TV android app有明显的漏洞，随意获取到用户帐户信息

详细说明：

与上次提交的漏洞一样，可以通过http请求传入用户昵称获取到用户id,总点数，充值点，创建时间等信息。结合上个漏洞通过id获取用户详细信息的漏洞，应该就拿到用户的几乎全部数据了吧？

乐视TV不给俺送个礼物，奖金么？

通过用户昵称获取了用户的充值信息，用户信息，帐户信息，充值信息加一块是不是可以进行人群消费水平划分了？感觉很恐怖

漏洞证明：

url：http://dynamic.app.m.letv.com/android/dynamic.php?starttime=&endtime=&deptid=&productid=&username=123456&act=queryrecord&ctl=index&day=0&mod=passport&pid=&pcode=010110329&query=02&version=5.0

其中username是可以随便填写的

将query参数修改为01，没想到看到了充值记录

有图为证：

修复方案：

说一下这两个bug怎么发现的吧，过程其实很简单，乐视TV的手机app在5.0或者之前版本（前几个版本没测试）存在这个问题，一开始进去会强制升级，可能你们已经意识到这个问题了吧，其实最新版本app发现你们都是用tk去获取用户信息的，加密了。但是之前的api接口没有废掉？虽然5.0app有强制升级，但是我从app开始运行就瞅准用户中心那个点一直点下去，跳过了你们的升级提示，直接登录了。后面的就很简单了，抓包开始，一串http请求全下来了，图片为证：