Les1ie
ONLINE

Les1ie

V2EX 第 214916 号会员,加入于 2017-02-14 00:32:29 +08:00
今日活跃度排名 2141
根据 Les1ie 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
Les1ie 最近回复了
@cwyalpha #300 快应用是手机系统内预置的,支持浏览器里面发送 http 请求唤醒应用 不只是 vivo,其他很多国产手机也有这个,比如 coloros, miui, flyme, emui
根据 @cwyalpha 的回复,现在能构造出控制内网 /公网机器跳转到指定快应用的链接了
可以设置 __PROMPT__的值决定是直接跳转还是弹窗确认是否跳转,如果 __PROMPT__=0,那么无需用户确认,自动跳转到指定的快应用。
此外该链接可以通过本机访问目标网站触发或者攻击者远程触发。

攻击者远程触发:
http://ip:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=1&__NAME__=ttteeesssttt # 有弹窗,启动美团外卖

http://ip:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=0&__NAME__=ttteeesssttt # 无弹窗,直接启动美团外卖


水坑攻击:在某个网页添加能发起请求的代码,如添加 <img>,
<img src="http://127.0.0.1:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=0&__NAME__=tttesttt">

受害者访问此页面后可以直接跳转到美团外卖(此请求其实是设计者预设的合法请求,但是可能被水坑攻击利用)

说到底,其实这是 quickapp 的 feature,通过 http 请求唤醒应用,这里监听了所有端口导致了问题的严重放大,被映射到公网,导致了问题的更严重的放大,致使了这个 feature 可能被攻击者远程利用,通过内网 /公网的一次 GET 请求启动目标手机的应用。

暂未确认是 UPNP 导致的端口被映射到公网,还是其他途径映射到公网的,fofa 搜索指纹能找到 7 万台设备,zoomeye 搜索指纹能找到 20 万台设备。两个厂商扫描的周期不同以及可能存在历史数据,个人推测公网受害者大约在 10 万台这一量级。
对于没有映射到公网的设备,数量可能是映射到了公网的设备的千倍。根据 https://finance.sina.com.cn/tech/2021-05-01/doc-ikmxzfmk9958014.shtml 的内容,在大内网的地方,比如企业内网、校园网,漏洞触发可能更容易。


根据楼上各位大佬分析到的结果,这应该已经能算是一个有一定危险性的漏洞了,推测 CVSS 评分 5-6,可能的攻击场景是远程启动受害者应用或者反复请求恶意 URL 导致拒绝服务攻击。但是更严重的利用,比如注册一个恶意的快应用,然后通过此触发方式在受害者手机上启动该快应用,进一步实现权限提升,可能是可以实现的,但存在一定难度。

锅不能全扔给 vivo,快应用也得背一点,可能不只是 vivo 存在这个问题,其他品牌支持快应用的手机可能也有类似的问题 :)

至于如何解决 55555 仍在开放,目前为止该漏洞仍然可以被恶意利用这个问题,暂时只能在路由器里面关 upnp,adb 卸载某些包(哪些我也不知道)。关 UPNP 只能防御来自 NAT 之外的攻击,不能抵御内网里的攻击,所以,等 vivo 的 OTA 更新吧 (推测他们会处理这个问题叭)

至于楼主的存在较大的带宽占用这个问题,目前似乎没有更多的信息了,个人推测快应用可能和 HCDN 没有关系。

另:
蹲一蹲楼上各位大佬写的分析过程 :)
https://i.loli.net/2021/05/25/XqRKVAo3u65SaEN.png

可以添加 __NAME__参数,控制弹窗提示的名字

http://192.168.123.81:55555/?i=1&__PROMPT__=1&__NAME__=hacked_by_somebody&__SRC__=hack

__SRC__参数的作用暂不明确
@droidmax61 #188 不清楚,可以问问 @essicaj 是怎么得到这个参数的 我猜测是快应用的 id 😕😕
http://127.0.0.1:55555/?i=1&__PROMPT__=0 设置参数为 0,不需要弹窗确认就可以进入到快应用里面了
http://ip:55555/?i=1&__PROMPT__=1 复现成功
路由器下有 iqoo neo, iqoo neo3 两台 vivo 系的手机,但是在我路由器的 upnp 列表里面没有看到这两个手机的任何端口的记录。
关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2273 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 124ms · UTC 14:21 · PVG 22:21 · LAX 07:21 · JFK 10:21
♥ Do have faith in what you're doing.