詳解百度應用的 WormHole 后門

安全研究人員公布了百度旗下應用WormHole漏洞的詳細分析報告。百度旗下應用安裝到手機上之后，它會打開40310/6259端口，任何IP都可以連接該端口。被百度稱為immortal service的HTTP服務監視來自該端口的信息，之所以被稱為immortal（不朽），原因是它“會在后臺一直運行，并且如果你手機中裝了多個有 wormhole漏洞的app，這些app會時刻檢查40310/6259端口，如果那個監聽40310/6259端口的app被卸載了，另一個app會立馬啟動服務重新監聽40310/6259端口。 ”連接端口的IP需要驗證一些頭文件，但很容易通過偽裝繞過。成功與該服務進行通訊后，就可以通過URL給APP下達指令，比如獲取用戶手機的GPS位置，給手機增加聯系人，下載任意文件到指定路徑如果文件是apk則進行安裝。趨勢科技發表了一篇報道描述了百度的WormHole后門。    

            
本文轉載自: http://www.solidot.org/story?sid=46012