详解百度应用的 WormHole 后门

jopen 9年前

安全研究人员公布了百度旗下应用WormHole漏洞的详细分析报告。百度旗下应用安装到手机上之后,它会打开40310/6259端口,任何IP都可以连接该端口。被百度称为immortal service的HTTP服务监视来自该端口的信息,之所以被称为immortal(不朽),原因是它“会在后台一直运行,并且如果你手机中装了多个有 wormhole漏洞的app,这些app会时刻检查40310/6259端口,如果那个监听40310/6259端口的app被卸载了,另一个app会立马启动服务重新监听40310/6259端口。 ”连接端口的IP需要验证一些头文件,但很容易通过伪装绕过。成功与该服务进行通讯后,就可以通过URL给APP下达指令,比如获取用户手机的GPS位置,给手机增加联系人,下载任意文件到指定路径如果文件是apk则进行安装。趋势科技发表了一篇报道描述了百度的WormHole后门。    

            
本文转载自: http://www.solidot.org/story?sid=46012