安全预警 - 华为智能手机的鉴权不当漏洞
- 预警编号:huawei-sa-20181010-01-applock
- 初始发布时间: 2018-10-10
- 更新发布时间: 2020-09-02
华为智能手机中存在一个鉴权不当的漏洞。应用锁功能的目的是防止他人未经许可使用手机上的应用程序,攻击者可在特定操作后直接更改应用锁定密码。成功利用此漏洞可使攻击者使用加锁应用。 (漏洞编号:HWPSIRT-2018-06006)
此漏洞的CVE编号为: CVE-2018-7989.
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20181010-01-applock-cn
|
产品名称 |
版本号 |
修复版本号 |
|
ALP-AL00B |
8.1.0.326(C00)之前版本 |
BLA-AL00B 8.1.0.326(C00) |
|
ALP-TL00B |
8.1.0.326(C00)之前版本 |
BLA-AL00B 8.1.0.326(C00) |
|
Anne-AL00 |
8.0.0.165(C00)之前版本 |
8.0.0.165(C00) |
|
荣耀畅玩7A |
8.0.0.186(C00)之前版本 |
8.0.0.186(C00) |
|
Atomu-AL10B |
8.0.0.186(C00)之前版本 |
8.0.0.186(C00) |
|
荣耀畅玩7A |
8.0.0.186(C00)之前版本 |
8.0.0.186(C00) |
|
Atomu-L29A |
8.0.0.140(C461CUSTC461D1)之前版本 |
8.0.0.140(C461CUSTC461D1) |
|
Atomu-L41 |
8.0.0.140(C461CUSTC461D1)之前版本 |
8.0.0.140(C461CUSTC461D1) |
|
BLA-AL00B |
8.1.0.326(C00)之前版本 |
8.1.0.326(C00) |
|
BLA-TL00B |
8.1.0.326(C00)之前版本 |
BLA-AL00B 8.1.0.326(C00) |
|
Berkeley-TL10 |
8.0.0.192(C01GT)之前版本 |
8.0.0.192(C01GT) |
|
Duke-L09 |
8.0.0.366(C636)之前版本 |
DUK-L09 8.0.0.366(C636) |
|
8.0.0.368(C10)之前版本 |
DUK-L09 8.0.0.368(C10) |
|
|
8.0.0.369(C432)之前版本 |
DUK-L09 8.0.0.369(C432) |
|
|
Figo-AL00A |
8.0.0.173(C00)之前版本 |
8.0.0.173(C00) |
|
Figo-AL10B |
8.0.0.176(C01)之前版本 |
Figo-TL10B 8.0.0.176(C01) |
|
Figo-L31 |
8.0.0.124(C530)之前版本 |
8.0.0.124(C530) |
|
8.0.0.130(C10)之前版本 |
8.0.0.130(C10) |
|
|
8.0.0.133(C09)之前版本 |
8.0.0.133(C09) |
|
|
8.0.0.136(C33)之前版本 |
8.0.0.136(C33) |
|
|
8.0.0.148(C432)之前版本 |
8.0.0.148(C432) |
|
|
Figo-TL00A |
8.0.0.173(C01)之前版本 |
8.0.0.173(C01) |
|
Florida-AL10B |
8.0.0.168(C00)之前版本 |
8.0.0.168(C00) |
|
Florida-TL10B |
8.0.0.168(C01)之前版本 |
8.0.0.168(C01) |
|
HUAWEI Y6 Prime 2018 |
8.0.0.140(C461CUSTC461D1)之前版本 |
8.0.0.140(C461CUSTC461D1) |
|
HUAWEI nova 3e,HUAWEI P20 lite |
8.0.0.142(C461)之前版本 |
8.0.0.142(C461) |
|
Jimmy-AL00A |
Jimmy-AL00AC00B172之前版本 |
Jimmy-AL00AC00B172 |
|
Jimmy-TL00A |
Jimmy-TL00AC01B172之前版本 |
Jimmy-TL00AC01B172 |
|
Leland-AL00A |
8.0.0.178(C00)之前版本 |
8.0.0.178(C00) |
|
Leland-L22C |
8.0.0.185(C675CUSTC675D2)之前版本 |
8.0.0.185(C675CUSTC675D2) |
|
Leland-L42A |
8.0.0.175(C675CUSTC675D1)之前版本 |
8.0.0.175(C675CUSTC675D1) |
|
Leland-L42C |
8.0.0.175(C675CUSTC675D1)之前版本 |
8.0.0.175(C675CUSTC675D1) |
|
Leland-TL10B |
8.0.0.178(C01)之前版本 |
8.0.0.178(C01) |
|
Leland-TL10C |
8.0.0.178(C01)之前版本 |
8.0.0.178(C01) |
|
荣耀9i |
8.0.0.123(C00)之前版本 |
8.0.0.123(C00) |
|
华为畅享8 |
8.0.0.211(C00)之前版本 |
8.0.0.211(C00) |
|
8.0.0.211(C00)之前版本 |
||
|
8.0.0.211(C00)之前版本 |
||
|
8.0.0.211(C00)之前版本 |
||
|
London-AL30A |
8.0.0.211(C00)之前版本 |
8.0.0.211(C00) |
|
London-AL30I |
8.0.0.150(C675CUSTC675D1)之前版本 |
8.0.0.150(C675CUSTC675D1) |
|
London-AL40 |
8.0.0.211(C00)之前版本 |
8.0.0.211(C00) |
|
London-AL40I |
8.0.0.150(C675CUSTC675D1)之前版本 |
8.0.0.150(C675CUSTC675D1) |
|
London-L29 |
8.0.0.132(C461CUSTC461D1)之前版本 |
8.0.0.132(C461CUSTC461D1) |
|
华为畅享8 |
8.0.0.211(C01)之前版本 |
8.0.0.211(C01) |
|
8.0.0.211(C01)之前版本 |
||
|
8.0.0.211(C01)之前版本 |
||
|
London-TL40 |
8.0.0.211(C01)之前版本 |
London-TL40B 8.0.0.211(C01) |
|
Stanford-AL00 |
8.0.0.355(C00GT)之前版本 |
STF-AL10 8.0.0.355(C00GT) |
|
Toronto-AL00 |
Toronto-AL00C00B225之前版本 |
Toronto-AL00C00B225 |
|
Toronto-AL00A |
Toronto-AL00AC00B225之前版本 |
Toronto-AL00AC00B225 |
|
Toronto-TL10 |
Toronto-TL10C01B225之前版本 |
Toronto-TL10C01B225 |
成功利用此漏洞可使攻击者使用加锁应用。
漏洞使用CVSSv3计分系统进行分级(http://www.first.org/cvss/specification-document)
基础得分:4.6 (AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
临时得分:4.3 (E:F/RL:O/RC:C)
利用漏洞发起攻击的预置条件:
攻击者获取到设备。
漏洞详细描述:
应用锁功能的目的是防止他人未经许可使用手机上的应用程序,攻击者可在特定操作后直接更改应用锁定密码。成功利用此漏洞可使攻击者使用加锁应用。
无
该漏洞由华为内部测试发现。
2020-09-02 V1.2 UPDATED 刷新受影响产品版本和修复信息;
2020-08-26 V1.1 UPDATED 刷新受影响产品版本和修复信息;
2018-10-10 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
