详解百度应用的 WormHole 后门

oschina
 oschina
发布于 2015年11月03日
收藏 34

安全研究人员公布了百 度旗下应用WormHole漏洞的详细分析报告。百度旗下应用安装到手机上之后,它会打开40310/6259端口,任何IP都可以连接该端口。被百度称 为immortal service的HTTP服务监视来自该端口的信息,之所以被称为immortal(不朽),原因是它“会在后台一直运行,并且如果你手机中装了多个有 wormhole漏洞的app,这些app会时刻检查40310/6259端口,如果那个监听40310/6259端口的app被卸载了,另一个app会 立马启动服务重新监听40310/6259端口。 ”连接端口的IP需要验证一些头文件,但很容易通过伪装绕过。成功与该服务进行通讯后,就可以通过URL给APP下达指令,比如获取用户手机的GPS位 置,给手机增加联系人,下载任意文件到指定路径如果文件是apk则进行安装。趋势科技发表了一篇报道描述了百度的WormHole后门。                  

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:详解百度应用的 WormHole 后门
加载中

最新评论(68

红薯的小黄瓜
红薯的小黄瓜
很多人说只有开源最安全,又有很多人说安卓很不安全,到底怎么才安全?我都懵了。
changnet
changnet

引用来自“changnet”的评论

谁能告诉我如何删除百度地址栏,msconfig、注册表、异常进程都检查过并且删除了。第二天还是自动安装。不知道是哪个软件下载的

引用来自“范翠霞”的评论

看下安装程序的目录,清空了。如果次日亥时自动安装,检查是哪个程序下载的安装包。

当然最好的办法是联系百度客服,投诉,她们会安抚你,解决你的问题。
就是不知道是哪个程序下载的。下载目录在temp目录。定时任务都检查过了,没发现什么异常
冬日暖阳85
冬日暖阳85

引用来自“changnet”的评论

谁能告诉我如何删除百度地址栏,msconfig、注册表、异常进程都检查过并且删除了。第二天还是自动安装。不知道是哪个软件下载的
看下安装程序的目录,清空了。如果次日亥时自动安装,检查是哪个程序下载的安装包。

当然最好的办法是联系百度客服,投诉,她们会安抚你,解决你的问题。
三月虎
用ESET Mobile是可以扫描出潜在威胁。
LipV
LipV
用百度搜索,其他都不用。那个百度杀毒,简直就是病毒!百度影音双线程,自保护,关了又开。(我没用过)
苏大泉
苏大泉
360的机会来了
苏大泉
苏大泉
度娘的菊花啊
dingdayu
dingdayu
唉,最近app老是爆漏洞,系统漏洞道是关心的人少了,这种类似的后门,国内定制OS里,应该也挺多的吧?反正,在我看来,这些东西多的数都数不过来,不过爆出一个死一个。。
wkgcass
wkgcass

引用来自“Inas”的评论

抵制百度,从我做起!

引用来自“引鸩怼孑”的评论

你怎么抵制的?你完全不用百度吗 那太有骨气咯!

引用来自“神州浪子”的评论

从来不用百度的飘过
不过该用还得用嘛。
返回顶部
顶部