「まあ、少なくとも何かは私たちにとって安全です。」
-毎年、iPhoneは壊れていますが、何もありません。
偶然このエラーを見つけました。 1人のテスターがこのように進むとは思っていなかったと確信しています。Xiaomiのバグバウンティへの参加を助けたのは偶然ではなかったので、明白でワイルドで予測不可能です。 この投稿では、私がそれをどのようにしたのか、それが何のためだったのか、そして中国のサービスが悪である理由についてお話します。
背景
MIUI OSでは、2つの「スペース」を作成できます(簡単にするため、プロファイルと呼びます)-互いにアクセスできない完全に独立した設定、アプリケーション、およびファイルのセット(個別の「インポート」アプリケーションはカウントしません)。 両方のプロファイルはパスワードで保護でき、たとえば、他の人とデバイスを使用できます。
実際、何を練っていますか?
練り上げは、パスワードを入力せずに2番目のプロファイルから最初のプロファイルに切り替える方法を見つけたことです。 これは 、デフォルトでMIUI 8のグローバルファームウェアにインストールされ、2番目のプロファイルですぐに利用できるGoogleドライブアプリケーションによって可能になりました。
2番目のプロファイルは、最初のプロファイルよりも権限が低くなります。たとえば、モバイルインターネットを有効または無効にしたり、Googleドライブでバックアップを管理したりすることはできません。 これを実行しようとすると、アプリケーションは[ユーザーの管理]システムダイアログに移動して、アクションを実行するユーザーを選択することを提案します。
しかし、何かがうまくいかず、このウィンドウでメインプロファイルを選択しても、バックアップ管理には至らず、パスワードを入力せずに移行することになりました。
疑わしい分析#1
原則として、大丈夫です。 この脆弱性を悪用するには、少なくともパスワードの1つを知っていて、電話に物理的にアクセスできる必要があります。 しかし、限られたチーム内であっても、2番目のプロファイルに保存されているデータにアクセスするのは非常に不快です。
一方、「ユーザーの管理」画面の外観の原理を実際に調査する時間はありませんでした。 おそらく他のアプリケーションから呼び出すためのシステムメソッドがありますが、私はそこまで行っていません。
それと一緒に暮らすには?
最初は、Googleアプリケーションのバグとして宣言することを考えていました(彼らは時々お金を払ってくれると聞きました)。 しかし、常識的には、OSのセキュリティホールの価格が高くなる可能性があり(また、より早く修正する必要がある)、Xiaomiからのバグ報奨金のプログラムを探していました。
短い検索でXiaomiセキュリティセンターに移動しました 。 現在、少なくとも30%が英語の翻訳を追加し、次のようになっています。
Xiaomi Security Center、sec.xiaomi.com
Googleトランスレーターを使用して、プログラムに関するいくつかの一般的なことを読み、見つかった脆弱性が高カテゴリに引っ張られていることに気付きました-SQLインジェクション、ビジネスロジックの脆弱性、Cookieアクセスを伴うXSS、デバイスユーザーに関する情報の取得、エスカレーション特権、ログイン画面のバイパスなど、いくつかのこと。 「わかりました」と私は思いました。突く方法を使ってフォームを見つけ、問題を説明しに行きました。
脆弱性提出フォーム
クロムに組み込まれたGoogleトランスレータは、動的に生成されるドロップダウンリストに関しては現時点で最適です。 タイトル、説明、概念実証、およびソリューションのフィールドが何らかの形で理解できる場合、リストから欲しいものはまったく理解しませんでした。 HTMLコードを表示して手動で翻訳することにより、ページの適切な場所から象形文字を選択する必要がありました。
ありがとう、今はすべてがはっきりしている
最初のリストが脆弱性のタイプを決定し、2番目のリストがそれを特定し、3番目のリストでは問題の規模(低から大まで)を選択する必要がありました。
当然、この問題は非常に重要であり、すでにお金を我慢することを書きました;私は力がありません;私はそのような素晴らしい仲間です。 私の意図を確認するために、5分間のビデオを録画しました。英語で、英語でこの脆弱性を悪用し、個人データに簡単にアクセスする方法を説明しました。 脆弱性とその修正方法に関する情報を送信し(4月6日)、待ちました。
どれくらい時間がかかりましたか?
4月11日、セキュリティセンターで、名前のないXiaomiの従業員からメッセージを受け取りました。
次のようなものでした。
>ご提出いただきありがとうございます。これはmiuiの問題ではないため、マイナーで報酬はありません。ご協力ありがとうございます。
> 提出していただきありがとうございます。これはmiuiの問題ではなく、重要でないとマークされており、報酬はありません。 サポートしていただきありがとうございます。
「しかし、どのように? しかし、それ! 同じ! 穴! サイズ! C! キンバーライト! ハンドセット! In Yakutia!」-次の4時間にIしたようなもので、落ち着いて返信メッセージを書きました。 ここにあります:
> Miuiでは、「ユーザーの管理」画面を表示して、パスなしでアカウントを切り替えることができます。 とにかく、この問題を修正する予定はありますか?
> MIUIでは、「ユーザー管理」画面に移動し、パスワードなしでアカウントを切り替えることができます。 とにかく、問題を修正する予定はありますか?
私はさらに5日間待つように精神的に準備されていました(私はまだ報酬なしで残っていたので)が、答えは1時間後に来ました:
>申し訳ありませんが、私の間違い、もう一度テストします
> 申し訳ありませんが、責任がありません。 もう一度確認します。
疑わしい分析#2
オペレーターの「エラー」のため、穴はほぼ無限に閉じられます。 他の脆弱性検索プログラムでこれがどのように機能するかはわかりませんが、Xiaomiのこのアプローチは、憂鬱な考えを明確に設定します。
それでも、エラーはテストの2週間後にすでに修正されました。システムの新しい更新では、このようなトリックはもう繰り返されませんでした。 同じ理由で、私は今この投稿を書いています。
幸いなことに、テストにはそれほど時間はかかりませんでしたが、翌日、セキュリティセンター内の店で1000(千)コインの報酬を受け取りました。
店は他に何ですか?
sec.xiaomi.comには、内部セキュリティを獲得した通貨で購入できるもののカタログがあります(申し訳ありませんが、簡単な説明を思いつきませんでした)。
賞金1000枚のコインを拒否しないでください
商品から何も選択できないことに気付いて、私は別の興味深いオプションを研究し始めました-1.5コインで1元のレートで、コインで元を「購入」できます。 簡単な計算では、私の1000枚のコインが有名な約5,200ルーブル(執筆時点のレートで)になったことがわかりました。これは、システム内の疑わしい場所でいくつかのボタンを押すことに対する非常に良い見返りのように見えました。
もちろん、私はバスケットに900コインのRMBを入れました(それぞれ150個の量子化)。
もちろん、私は碑文の「チェックアウト」の中国語版をクリックしました。
そして、もちろん、私はすぐに多くの問題に遭遇しました。
紛失していなかった場合のフォームのスクリーンショット
彼らは私の名前、銀行カード番号、
中国語名入力フォーム
ロシアのパスポートの名前も番号も適切ではありませんでした-中国のID番号には12〜16文字が含まれ、名前に割り当てられたのは2〜6文字だけでした。
しかし、賞を受賞した後、賞を逃したくなかったので、テクニカルサポートに手紙を書き、外国人がどのようにお金を引き出すかを調べました(脆弱性キャッチャーのニックネームから判断すると、それが多い)。 さて、私たちは正しいセクションを探している翻訳者と一緒に行きます...
...いまいましい。
さて、私は商品を選択しなければなりませんでした。 スマートランプ 、 スマート360度カメラ 、 ブルートゥーススピーカーが 1000枚のコインに入れられました。 合わせて約7200ルーブル(または124ドル)かかります。
同じサイトの「運命の輪」で失った残りの3ダースのコイン。
幸いなことに、デザインはよりシンプルで、 100文字の制限があるフィールドに国際配送先住所を入力し、名前を6文字(Evgeny)に減らして、Notesに完全な名前を書く方法を理解する必要がありました。
7月が終了しました。
どれくらい待つべきですか?
アカウントのフォームに記入した後、何も変わっていません。 8月1日に、彼は配信の内容を明確にすることを決定し、同じダイアログで脆弱性を報告したメッセージを書きました。 何も起こりませんでした。
8月25日、私は別の試みを行い、5日後に小包の追跡と謝罪の回答を受け取りました。
納品にはさらに1週間かかりましたが、Xiaomiのバウンティバグに対する報酬のある小包を受け取りました。 EMSの宅配便業者が彼女をドアに届けてくれたのは嬉しいことです。 ハッピーエンド。
コメントでは、この時間のかかるプロセスのあらゆる段階についての質問に答える準備ができています。
ご清聴ありがとうございました!