比葫芦娃还可怕的百度全系 APP SDK 漏洞 - WormHole 虫洞漏洞分析报告
nonozone · 2015-11-02 14:47:51 +08:00 · 4887 次点击这是一个创建于 3301 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
Smilecc 2015-11-02 15:00:17 +08:00
尼玛百度太可怕了
|
 |
2
tuteng 2015-11-02 15:05:27 +08:00
nb
|
 |
3
DreamCMS 2015-11-02 15:13:15 +08:00
流氓才能搞好网络 hao123 前流氓代表
|
 |
4
21grams 2015-11-02 18:05:53 +08:00
放心了,我的手机还是 2G 。
|
 |
5
binux 2015-11-02 18:33:28 +08:00
怎么修改 remote-addr ?
|
 |
6
killerv 2015-11-02 18:37:54 +08:00 via Android
百度简直丧心病狂
|
 |
7
paradoxs 2015-11-02 18:45:21 +08:00 via iPhone
手机系统本来就不应该让软件跑在沙箱外。
|
 |
8
lukertty 2015-11-02 18:45:28 +08:00
日了哈士奇全家了!解决方案在哪里?
|
 |
9
bigcoon 2015-11-02 18:54:26 +08:00 via iPhone
换 iPhone
|
 |
10
wsy2220 2015-11-02 18:56:28 +08:00
这就是故意开的后门,不能叫漏洞
|
 |
11
gamexg 2015-11-02 19:07:29 +08:00
看样以后 android 都需要防火墙了。
iptables ... |
 |
12
ArchStacker 2015-11-02 19:56:20 +08:00
|
 |
15
ccccccc 2015-11-02 20:32:36 +08:00
|
 |
16
chigco 2015-11-02 21:11:04 +08:00 via iPhone
恐怖😱
|
 |
17
Reficul 2015-11-02 21:13:16 +08:00
感觉这个影响不比 XcodeGhost 小啊。不过新闻还没咋看见,事件还没发酵还是已经被按住了
|
 |
18
starship 2015-11-02 22:51:01 +08:00
请问下 只安装了 百度输入法,并且用 lightningWall 防火墙禁止联网 ,这样会不会受到感染?
|
 |
19
kmahyyg 2015-11-02 23:25:10 +08:00
貌似百度输入法没有 v5.8.20
u0_a146@HM2014813:/ $ su root@HM2014813:/ # busybox netstat -l -t -w -p Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 :::40310 :::* LISTEN 13417/com.baidu.net tcp 0 0 :::7777 :::* LISTEN 13377/com.baidu.net root@HM2014813:/ # ps 13377 USER PID PPID VSIZE RSS WCHAN PC NAME u0_a145 13377 220 355316 26360 ffffffff 40091938 S com.b aidu.netdisk:bdservice_v1 root@HM2014813:/ # ps 13417 USER PID PPID VSIZE RSS WCHAN PC NAME u0_a145 13417 220 356264 29956 ffffffff 40091938 S com.b aidu.netdisk:bdmoservice 呵呵 |
 |
21
marswu 2015-11-03 01:45:59 +08:00 via iPhone
吓得我把唯一的百度输入法也给换讯飞了
|
 |
22
dalaomj 2015-11-03 01:56:59 +08:00
@binux 貌似他检查的是调用时自己增加的一个字段。
然后, socket 里的 remote address 也是可以伪造的。需要更底层的操作,直接伪造 IP 协议里的 IP 头信息。但要求对方和自己在同一个网关下,才存在利用的可能。 很多运营商不验证 IP 头信息有效性,这就导致单台电脑就能发动大量 TCP 半开连接攻击。 |
|
23
binux 2015-11-03 02:12:44 +08:00
@dalaomj 但是 http 需要成功建立 tcp 连接... 即使不验证也并没有什么卵用.
"无论是 wifi 无线网络或者 3G/4G 蜂窝网络,只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机,无需使用 DNS 欺骗。" 但是在接受数据的函数里有一些验证,比如 http 头部 remote-addr 字段是否是” 127.0.0.1 ”,但是会一点 web 技巧的人就知道,只要伪造一下头部信息就可把 remote-addr 字段变成” 127.0.0.1 ” 是如何做到的 |
 |
25
silvernoo 2015-11-03 07:44:55 +08:00
记得以前 V2 上就有人说过,百度的软件在手机上建立 HTTP server ,供百度远程操控
|
Select Language