[公开漏洞]最新版本的PPStream客户端上传用户信息到一个特定的Xiaomi邮箱

最新版本的PPStream客户端上传用户信息到一个特定的Xiaomi邮箱 相关厂商： PPS网络电视 漏洞作者：路人甲 提交时间：2014-04-20 13:46 公开时间：2014-07-16 13:47 漏洞类型：用户敏感数据泄漏 危害等级：低 自评Rank：5 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： android安全 漏洞详情 披露状态：

2014-04-20：细节已通知厂商并且等待厂商处理中
2014-04-20：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-04-27：细节向核心白帽子及相关领域专家公开
2014-05-07：细节向普通白帽子公开
2014-05-27：细节向实习白帽子公开
2014-07-16：细节向公众公开

简要描述：

您好，是这样的，我的手机是root过的Galaxy Note2。最近在用dSploit抓包时，发现自己的手机会向xiaomi的一个特定邮箱（具体地址是：50021834884@xiaomi.com）发送很多个人信息，比如联网的地址，运营商等信息。

详细说明：

目前猜想是由PPStream上传的，不知是否是有人侵入系统导致的。

在之前版本的PPStream中并未出现类似情况。

漏洞证明：

未安装任何与小米有关的应用，却上传数据给小米。



烦请看下是否是软件的漏洞，还是黑客利用PPS的漏洞入侵。



不知能否邮件告知一下我分析结果？多谢！

修复方案：

目前已经将PPS设置为断网，未再出现类似状况。

版权声明：转载请注明来源 路人甲@乌云

漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-04-20 22:56

厂商回复：

谢谢您的反馈,经排查,未发现存在该问题。

最新状态：

暂无