- A+
最近万豪酒店因拦截酒店会议中心的客户WiFi通讯而频见报端。作为万豪酒店的一名顾客,我想知道他们是怎么“拦截”访问我在他们系统中的敏感信息的。由于web服务的安全性常被忽略,从他们的万豪国际安卓app开始看起应该是个不错的主意。
启动app之后我登陆到自己的万豪奖励(Marriott Rewards)账户,我被带入一个屏幕显示我的未来预定(我并没有预定)情况为空,如下:
获得预定的要求非常有意思。它缺少Cookie或认证头信息。
万豪酒店通过向他们的web服务提出一个完全未经认证的要求来获得未来预定,这意味着任何人可以仅仅通过输入会员ID(奖励号码)来查询任何有奖励会员的预定。这已经很让人担心了,但我想知道这对客户到底会造成多严重的影响。获得许可之后,通过观察一个朋友的未来预定情况,我发现一个有效响应如下:
这里有很多敏感信息。更糟糕的是,为了完全管理万豪网站上的预定,你只需要输入预定号码以及客户的姓氏。如上所述,所有的这些域都有响应返回。
登录管理这个预定,你可以取消整个预定,如下:
客户的通讯及支付信息可在另外一屏幕中获取,尽管信用卡号信息提供的仅仅是最后四位数字:
很显然,这是一个非常严重的漏洞。以下是我写的POC漏洞利用代码,以向万豪酒店的技术团队演示这个漏洞:
找到万豪酒店对的联系人不容易。我尝试自己想出安全团队的邮件格式([email protected]),但这个邮箱并不存在。经过一个月以来尝试连接推特及一些LinkedIn通讯录,我终于跟信息安全团队的人联系上了。万豪酒店的响应速度给我留下了深刻印象,他们的团队马上对这份报告予以重视并且在一天之内解决了这个漏洞。
小编点评:和上次的美国电信巨头Verizon存在漏洞,攻击者可控制任意邮件账户一样,这又是老外写的一篇从app接口分析出的漏洞,可见很多厂商对于手机端和服务器交互的接口并不重视,但往往就是这样一个小漏洞会造成防线的全面崩溃。
