智冠 台版Fate/Grand Order手遊帳密漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2018-00653
  •  發信 Vendor: 智冠科技股份有限公司
  • Title: 智冠 台版Fate/Grand Order手遊帳密漏洞
  • Introduction: 將使用者登入的帳密直接呈現在log中,若log被其他單位或程式擷取,則可以獲取使用者登入的帳密與token

處理狀態

目前狀態

公開
Last Update : 2018/07/07
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2018/05/07 14:32:39 : 新提交 (由 qxxrbull 更新此狀態)
  • 2018/05/07 22:10:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/05/13 16:58:22 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/05/13 16:58:22 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/07/07 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2018-00653
  • 通報者:qxxrbull (qxxrbull)
  • 風險:低
  • 類型:Android 元件權限漏洞 (Android Component Permission Flaws)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

台版fate grand order手遊APK

敘述

將Android手機開啟USB電腦偵錯
利用adb logcat指令,可以取得台版FGO的登入帳密
大致上就是你把偵錯模式打開並且插著電腦
利用adb logcat > D:/1.txt
把偵錯信息寫進D槽根目錄下的1.txt
可以直接從txt取得登入遊戲時的帳密
https://i.imgur.com/FZqVZrA.jpg
如圖片

如果不連接電腦,在android4.1之後雖然已經鎖住以READ_LOGS來以不同APP獲取對方LOG的權限
但如果欲進行攻擊的APK取得root權限,則還是可以藉由此方法取得其他應用程式的log

修補建議

將有關使用者敏感資訊從log內完全移除
甚至搭配2FA認證

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;