前不久刚入职一家小公司,办公室是租的那种,有个大楼的 app 可以打开各楼层的玻璃门和办公室的门( app 展示一个二维码让门旁边的摄像头扫描,还有些其他功能)。但是这个 app,我的安卓 10 打开就闪退,我没法用,所以财务姐姐给我我一张 nfc 的门禁卡代替。
端午放假的时候我掏出旧手机,安装了那个 app,想抓包看看能不能自己抓取二维码显示在不能用的那个手机上。
一抓就发现这个 app 其实是个经典浏览器套壳 app,我就直接打开展示门禁二维码那个页面看他获取二维码的过程。
我很惊讶地发现他获取二维码只提交了加密的 uid 和加密用的 key,而刚注册的我,uid 才排到 300 多,说明用户人数不是特别多。
我又看了个人信息的代码,也是用 uid 请求获取的,也就是说我凭 uid 就能获取个人信息,其中包含手机号和身份证号。
~~我试着用我的 uid-1 的 uid,能获取到别人信息~~
这个 app 请求的 api 用的域名是"ofstudio.com 果壳设计"的。我估计他们看不到这个工单,所以主要是想问问这种情况怎么处理,是找大楼物业么?这个 app 应该是属于外包,如果物业解决不了我怎么办?我不想别人也发现这个问题然后获取我的信息。
1
dingwen07 2020-07-13 13:04:02 +08:00 via iPhone
黑帽行为:请求所有 UID,把敏感数据打码公布出来引起重视
|
2
chuziyv 2020-07-14 01:52:12 +08:00 1
建议找个漏洞提交平台提交上去,顺便带一部分脱敏的数据信息,@厂商 进行解决
|
3
jQE2EiL 2020-07-14 15:53:58 +08:00
解决个毛 当然是开个 shortcut 然后方便自己啊
|
5
wangbudong 2020-07-15 14:35:05 +08:00
自增 uid 还这么用也是神了
|