记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某公司开发数字证书签名被非法滥用

2014-08-17 00:46

最近在收集应用信息中,发现一个用于银行手机客户端签名的数字证书已经被个人非法利用。



1、23款不同银行官方手机银行客户端经过该数字证书签名。



应用包名 应用名称 官方下载地址

com.rytong.pad.bankps 邮储银行HD http://mobile.psbc.com/ewpdl_1404207502/ebank/mobile/apad/psbcpad.apk

com.rytong.bankps 邮储银行 http://mobile.psbc.com/ewpdl_1404207263/ebank/mobile/android/android2.0/psbc.apk

com.rytong.bankps_bj 邮储便捷版 http://mobile.psbc.com/ewpdl_1404207321/ebank/mobile/android_j/psbc.apk

com.chinaCEB.cebActivity 瑶瑶缴费 http://www.cebbank.com/static/s_upload/201308/123387655/app/yaoyaojiaofei.apk

com.cib.bankcib 兴业银行 http://3g.cib.com.cn/userfiles/image/cli/CIBV2.1.1.apk

com.srcb.mbank 上海农商银行http://mbank.srcb.com/mobile/android/bank_srcb.apk

com.rytong.bankqdnfc 青芯生活 http://www.qdccb.com/survey/cnt_down.jsp?/fwzf/xzzx/rjxz/new/BQDAndroidNfc.apk

com.rytong.bankqd 青岛银行 http://www.qdccb.com/survey/cnt_down.jsp?/fwzf/xzzx/rjxz/new/BQDAndroidBank.apk

com.rytong.bankqlb_pad 齐鲁银行HD http://wap.qlbchina.com/ebank/mobile/androidpad/android2.1/QLBChina_pad.apk

com.rytong.bankql 齐鲁银行 http://wap.qlbchina.com/ebank/mobile/android/android2.1/QLBChina.apk

com.rytong.bankbj 京彩生活 http://download.95526.mobi/sendMessage/downLoadFile/android/android1.5/bob.apk

com.bankcomm.mobile 交銀國際 http://www.bocomgroup.com/tw/securities-futures/products-mobile.html

com.bankcommhd 交通银行 HDhttp://wap.95559.com.cn/download/client/androidPad/lpc.apk

com.bankcomm 交通银行 http://wap.95559.com.cn/download/client/android_2g/jtyh2g.apk

com.rytong.app.bankhxpad 华夏银行padhttp://download.hxb.com.cn/mobile/androidpad/HXB_AP_1.3.0.apk

com.rytong.app.bankhx 华夏银行 http://download.hxb.com.cn/mobile/android/HXB_AM_1.3.0.apk

com.rytong.egbank 恒丰银行 http://www.egbank.com.cn/upload/tools/Androidegb2.apk

com.rytong.bankbhb 河北银行 http://www.hebbank.com/specialimg/zfb/bhb.apk

com.rytong.bankharbin 哈尔滨银行 http://app.lenovo.com/app/11394910.html

com.bankcomm e动交行 http://wap.95559.com.cn/download/client/android_2g/jtyh2g.apk

com.rytong.bankgdb 广发银行 http://www.cgbchina.com.cn/Info/CMS5_G20306002Resource?info=12584404;res=1401854296884909191424;download=

com.bankcomm.university 校园通 https://play.google.com/store/apps/details?id=com.bankcomm.university

com.cebbank.bankebb 光大银行 http://www.cebbank.com/static/s_upload/201201/71742264/app/ceb_prod_withmap.apk



以上不同银行的手机客户端应用都是外包给“北京融易通信息技术有限公司”开发的。



2、目前应用市场发现存在6款个人开发的应用同时使用该数字证书签名。



应用包名 应用名称下载地址

com.mynote.note e笔记 http://apk.gfan.com//Product/App299042.html

com.book.reader 小说阅读http://www.mogustore.com/app_show_4620.html

com.myblue.assistant 蓝牙e聊http://app.taobao.com/software/detail.htm?appId=396876

com.book.reader 易读书 http://www.appchina.com/app/com.book.reader/

com.androd.easytask 简单任务http://www.nduoa.com/apk/detail/28720

com.chengli.notelife 简单记事http://app.sogou.com/detail/62219



这六款手机客户端为同一个人开发者。



推断该个人开发者应该为“北京融易通信息技术有限公司“员工,“不小心”用公司的证书签名了个人开发的小应用并发布到市场。



虽然该证书目前并未被恶意使用,但是还是存在很大的安全风险:

1、不同银行的手机客户端使用完全相同的数字证书签名。匪夷所思!

2、这么多家银行的手机银行客户端不用自家银行的数字签名,而是同时使用一个第三方外包公司的数字证书签名。更匪夷所思!

3、一个这么重要的数字证书签名,第三方外包公司的员工可以随便拿来签发个人应用。如果真是这么容易后,感谢违法活动,结果更是匪夷所思!

漏洞证明:

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2014-067027

阅读:390873 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某公司开发数字证书签名被非法滥用”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云