移动客户端安全漏洞等级划分V1.2


我们将漏洞危害程度分为:严重、高危、中危、低危、无危险五个等级。其中定义移动客户端安全漏洞为以Flyme为核心的移动客户端安全漏洞。包括Flyme系统、魅族旗下app、魅族智能设备上的安全漏洞,并以对用户数据以及影响正常功能使用的实质危害为评分标准,评分分值区间与web端一致。

严重,包含但不限于:

1.直接获取客户端最高权限的漏洞。
2.严重的逻辑设计缺陷。包括但不限于由于绕过锁屏等绕过访问限制获取到敏感信息。魅族App导致的修改任意账号密码、获取任意账号云信息等。

3.在用户无感知情况下,远程获取用户敏感信息。

高危,包含但不限于:

1.敏感信息越权访问。包括但不限于影响业务运行的Broadcast消息伪造等Android组件权限漏洞。
2.敏感信息泄露。移动API访问摘要等。
3.可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞。

4.ROOT下,能获取SYSTEM权限的漏洞。

中危,包含但不限于:

1.普通越权操作。包括但不仅限于不正确的直接对象引用。
2.普通信息泄漏。包括但不仅限于客户端明文存储秘钥密码等。
3.远程拒绝服务。包括但不限于客户端远程拒绝服务(特殊字符、文件格式)
4.错误的设置。导致安全策略失效等潜在危害。

5.用户自行安装非法app 才能造成系统重启或部分功能拒绝服务等漏洞。

6.需用户自行安装非法app才能造成的非法操作activity造成一般危害的漏洞。

7.接口的逻辑漏洞可造成欺骗用户、钓鱼等漏洞。

 

低危,包含但不限于:

1.无敏感信息的app 本地SQL注入。
2.重要app由Android组件权限暴露、普通应用权限引起的问题等。
3.需借助中间人攻击的移动 app 远程代码执行漏洞并提供了有效 PoC。

无危险,本等级包含但不限于:

1.无安全影响的本地拒绝服务。
2.不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。
3.无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。
4.在同系统不同接口相同漏洞分多个独立漏洞提交将进行降级处理,在不同业务相同系统架构同漏洞多接口的分多个独立漏洞提交的将进行降级处理。

由于Flyme系统和魅族其它相关业务使用了第三方的组件与系统,其通用漏洞的修复由服务厂商的补丁下发进行维护,在修复周期内,为了能和白帽子更好的合作,同时避免对Flyme系统和魅族其它相关业务运营造成影响,对于移动客户端安全漏洞给出如下的说明:

一、公开的通用漏洞:

1.Flyme系统和魅族其它相关业务受最新通用漏洞影响,但补丁下发、需要一定的修复周期,在此期间提交相关漏洞,不计分,包括但不限于CVE公开漏洞、通用软件的漏洞。
2.提交内部已知的通用漏洞,不计分。
3.由服务厂商官方补丁下发后一定周期内(具体周期按业务排期需求而定),确认漏洞属于补丁更新不及时、或未修复的通用漏洞按http://sec.meizu.com/standard正常计分。
4.对于通用漏洞需提交详细的漏洞描述、漏洞复现的poc、以及证明漏洞危害的详细报告,对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理。
5.由同一个通用漏洞造成影响的多个业务,按第一个漏洞报告确认。

二、非公开的通用漏洞:

1.视漏洞危险程度而定。

业务重要性说明

1.核心业务:钱包、用户中心、云服务、系统更新、云储存、应用商店、快应用、浏览器。

(核心业务翻倍同web端评分标准一致

2.在同系统不同接口相同漏洞分多个独立漏洞提交将进行降级处理,在不同业务相同系统架构同漏洞多接口的分多个独立漏洞提交的将进行降级处理。