Globe Telecom APP明文HTTP传输漏洞分析报告

漏洞概述

菲律宾主要电信服务提供商Globe Telecom旗下的积分优惠APP"Globe Rewards"被发现采用不安全的HTTP协议明文传输用户数据，存在严重的信息泄露风险。

漏洞背景

受影响系统：Globe Rewards移动应用
漏洞类型：明文传输敏感数据
协议问题：使用HTTP而非HTTPS
风险等级：高危

漏洞发现过程

测试环境：研究者在实验环境中测试APP网络行为
异常发现：发现来自80端口的数据包包含用户交互数据
来源确认：确认数据包来自Globe Rewards应用
协议确认：确认传输使用HTTP明文协议

漏洞复现方法

使用Wireshark等抓包工具监听网络流量
运行Globe Rewards应用并执行常规操作
分析捕获的数据包，可观察到：
- 用户位置信息明文传输
- 用户手机号码明文传输
- 验证码和API Key等敏感数据明文传输

漏洞危害分析

1. 数据泄露风险

攻击者可轻易获取：
- 用户手机号码
- 地理位置信息
- 验证码
- API密钥
- 其他个人敏感信息

2. 攻击方式

网络嗅探：使用常见抓包工具即可获取传输数据
中间人攻击(MITM)：
- 通过虚假WiFi接入点
- 使用嗅探设备
- 可修改传输数据或插入恶意代码

3. 潜在后果

用户隐私数据泄露
账户被接管
恶意重定向
服务器权限被获取(如果包含管理员凭证)

漏洞修复建议

协议升级：立即将所有HTTP接口迁移至HTTPS
数据加密：对敏感数据进行端到端加密
完整性校验：实现数据完整性验证机制
安全审计：全面检查其他应用是否存在类似问题
漏洞响应：建立明确的漏洞报送渠道

漏洞报送过程

联系困难：官网无明确安全联系方式
最终报送：经过多方尝试成功报送漏洞
奖励金额：获得3000菲律宾比索(约62美元)奖励

经验教训

大型企业应用应避免使用HTTP明文传输
应建立完善的安全响应机制
移动应用开发需遵循基本安全规范
定期安全测试能发现潜在风险

参考资料

原始漏洞报告来源：lwgmnz
编译整理：clouds
发布平台：FreeBuf网络安全行业门户

Globe Telecom APP明文HTTP传输漏洞分析报告漏洞概述菲律宾主要电信服务提供商Globe Telecom旗下的积分优惠APP"Globe Rewards"被发现采用不安全的HTTP协议明文传输用户数据，存在严重的信息泄露风险。漏洞背景受影响系统：Globe Rewards移动应用漏洞类型：明文传输敏感数据协议问题：使用HTTP而非HTTPS 风险等级：高危漏洞发现过程测试环境：研究者在实验环境中测试APP网络行为异常发现：发现来自80端口的数据包包含用户交互数据来源确认：确认数据包来自Globe Rewards应用协议确认：确认传输使用HTTP明文协议漏洞复现方法使用Wireshark等抓包工具监听网络流量运行Globe Rewards应用并执行常规操作分析捕获的数据包，可观察到：用户位置信息明文传输用户手机号码明文传输验证码和API Key等敏感数据明文传输漏洞危害分析 1. 数据泄露风险攻击者可轻易获取：用户手机号码地理位置信息验证码 API密钥其他个人敏感信息 2. 攻击方式网络嗅探：使用常见抓包工具即可获取传输数据中间人攻击(MITM) ：通过虚假WiFi接入点使用嗅探设备可修改传输数据或插入恶意代码 3. 潜在后果用户隐私数据泄露账户被接管恶意重定向服务器权限被获取(如果包含管理员凭证) 漏洞修复建议协议升级：立即将所有HTTP接口迁移至HTTPS 数据加密：对敏感数据进行端到端加密完整性校验：实现数据完整性验证机制安全审计：全面检查其他应用是否存在类似问题漏洞响应：建立明确的漏洞报送渠道漏洞报送过程联系困难：官网无明确安全联系方式最终报送：经过多方尝试成功报送漏洞奖励金额：获得3000菲律宾比索(约62美元)奖励经验教训大型企业应用应避免使用HTTP明文传输应建立完善的安全响应机制移动应用开发需遵循基本安全规范定期安全测试能发现潜在风险参考资料原始漏洞报告来源：lwgmnz 编译整理：clouds 发布平台：FreeBuf网络安全行业门户