移动客户端安全漏洞等级划分V1.2


我们将漏洞危害程度分为:严重、高危、中危、低危、无危险五个等级。其中定义移动客户端安全漏洞为以Flyme为核心的移动客户端安全漏洞。包括Flyme系统、魅族旗下app、魅族智能设备上的安全漏洞,并以对用户数据以及影响正常功能使用的实质危害为评分标准,评分分值区间与web端一致。

严重,包含但不限于:

1.直接获取客户端最高权限的漏洞。
2.严重的逻辑设计缺陷。包括但不限于由于绕过锁屏等绕过访问限制获取到敏感信息。魅族App导致的修改任意账号密码、获取任意账号云信息等。

3.在用户无感知情况下,远程获取用户敏感信息。

高危,包含但不限于:

1.敏感信息越权访问。包括但不限于影响业务运行的Broadcast消息伪造等Android组件权限漏洞。
2.敏感信息泄露。移动API访问摘要等。
3.可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞。

4.ROOT下,能获取SYSTEM权限的漏洞。

中危,包含但不限于:

1.普通越权操作。包括但不仅限于不正确的直接对象引用。
2.普通信息泄漏。包括但不仅限于客户端明文存储秘钥密码等。
3.远程拒绝服务。包括但不限于客户端远程拒绝服务(特殊字符、文件格式)
4.错误的设置。导致安全策略失效等潜在危害。

5.用户自行安装非法app 才能造成系统重启或部分功能拒绝服务等漏洞。

6.需用户自行安装非法app才能造成的非法操作activity造成一般危害的漏洞。

7.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞。

 

低危,包含但不限于:

1.无敏感信息的app 本地SQL注入。
2.重要app由Android组件权限暴露、普通应用权限引起的问题等。
3.需借助中间人攻击的移动 app 远程代码执行漏洞并提供了有效 PoC。

无危险,本等级包含但不限于:

1.无安全影响的本地拒绝服务。
2.不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。
3.无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。

由于Flyme系统和魅族其它相关业务使用了第三方的组件与系统,其通用漏洞的修复由服务厂商的补丁下发进行维护,在修复周期内,为了能和白帽子更好的合作,同时避免对Flyme系统和魅族其它相关业务运营造成影响,对于移动客户端安全漏洞给出如下的说明:

一、公开的通用漏洞:

1.Flyme系统和魅族其它相关业务受最新通用漏洞影响,但补丁下发、需要一定的修复周期,在此期间提交相关漏洞,不计分,包括但不限于CVE公开漏洞、通用软件的漏洞。
2.提交内部已知的通用漏洞,不计分。
3.由服务厂商官方补丁下发后一定周期内(具体周期按业务排期需求而定),确认漏洞属于补丁更新不及时、或未修复的通用漏洞按http://sec.meizu.com/standard正常计分。
4.对于通用漏洞需提交详细的漏洞描述、漏洞复现的poc、以及证明漏洞危害的详细报告,对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理。
5.由同一个通用漏洞造成影响的多个业务,按第一个漏洞报告确认。

二、非公开的通用漏洞:

1.视漏洞危险程度而定。

业务重要性说明

1.核心业务:钱包、用户中心、云服务、系统更新、云储存。

(核心业务翻倍同web端评分标准一致