盛大起点读书Android客户端用户敏感数据泄漏_软件资讯_

披露状态:

2013-01-02: 细节已通知厂商并且等待厂商处理中
2013-01-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
盛大“起点读书”Android版导致任意第三方应用可以获得手机的详细地理位置、WiFi热点的SSID和BSSID、IMEI。

详细说明:
盛大“起点读书”在运行时,会定期搜集手机的详细地理位置、WiFi热点的SSID和BSSID、IMEI,并将其记录在名为/sdcard/location.log的文件中。考虑到/sdcard/路径下的文件是所有应用可以读写的,因此,第三方软件不需要任何权限即可获得用户的这些信息。

此外,看起来这些信息被回传到了。盛大想干什么?

漏洞证明:
日志保存在SD卡

盛大起点读书Android客户端用户敏感数据泄漏_软件资讯_

包括WIFI信息和GPS信息

盛大起点读书Android客户端用户敏感数据泄漏_软件资讯_

包括IMEI信息,并出现回传至服务器的记录

盛大起点读书Android客户端用户敏感数据泄漏_软件资讯_

相关代码位于该软件源码的com/snda/recommend/路径下,调用入口点在这个文件中实现:
com.snda.recommend.RecommandAPI.java

在这里也有类似的调用代码:

修复方案:
建议移除整个所谓SNRecommend模块的代码。