详解百度应用的 WormHole 后门

安全研究人员公布了百 度旗下应用WormHole漏洞的详细分析报告。百度旗下应用安装到手机上之后,它会打开40310/6259端口,任何IP都可以连接该端口。被百度称 为immortal service的HTTP服务监视来自该端口的信息,之所以被称为immortal(不朽),原因是它“会在后台一直运行,并且如果你手机中装了多个有 wormhole漏洞的app,这些app会时刻检查40310/6259端口,如果那个监听40310/6259端口的app被卸载了,另一个app会 立马启动服务重新监听40310/6259端口。 ”连接端口的IP需要验证一些头文件,但很容易通过伪装绕过。成功与该服务进行通讯后,就可以通过URL给APP下达指令,比如获取用户手机的GPS位 置,给手机增加联系人,下载任意文件到指定路径如果文件是apk则进行安装。趋势科技发表了一篇报道描述了百度的WormHole后门。
文章转载自 开源中国社区[https://www.oschina.net]

上一篇:Jstorm调度规则


下一篇:Unity3d 下websocket的使用