比葫芦娃还可怕的百度全系 APP SDK 漏洞 - WormHole 虫洞漏洞分析报告

2015-11-02 14:47:51 +08:00
 nonozone
http://drops.wooyun.org/papers/10061
4894 次点击
所在节点    分享发现
26 条回复
Smilecc
2015-11-02 15:00:17 +08:00
尼玛百度太可怕了
tuteng
2015-11-02 15:05:27 +08:00
nb
DreamCMS
2015-11-02 15:13:15 +08:00
流氓才能搞好网络 hao123 前流氓代表
21grams
2015-11-02 18:05:53 +08:00
放心了,我的手机还是 2G 。
binux
2015-11-02 18:33:28 +08:00
怎么修改 remote-addr ?
killerv
2015-11-02 18:37:54 +08:00
百度简直丧心病狂
paradoxs
2015-11-02 18:45:21 +08:00
手机系统本来就不应该让软件跑在沙箱外。
lukertty
2015-11-02 18:45:28 +08:00
日了哈士奇全家了!解决方案在哪里?
bigcoon
2015-11-02 18:54:26 +08:00
换 iPhone
wsy2220
2015-11-02 18:56:28 +08:00
这就是故意开的后门,不能叫漏洞
gamexg
2015-11-02 19:07:29 +08:00
看样以后 android 都需要防火墙了。
iptables ...
ArchStacker
2015-11-02 19:56:20 +08:00
/t/218539 之前就有人发现了,只可惜没深入研究
@ccccccc
breeswish
2015-11-02 20:05:52 +08:00
@binux 似乎它检查的是 HTTP header ,不是 socket 的 remote address
binux
2015-11-02 20:21:47 +08:00
@breeswish http header 并没有 remote-addr 啊
ccccccc
2015-11-02 20:32:36 +08:00
https://www.v2ex.com/t/218539#reply65

事实上 iOS 也有这样的
chigco
2015-11-02 21:11:04 +08:00
恐怖😱
Reficul
2015-11-02 21:13:16 +08:00
感觉这个影响不比 XcodeGhost 小啊。不过新闻还没咋看见,事件还没发酵还是已经被按住了
starship
2015-11-02 22:51:01 +08:00
请问下 只安装了 百度输入法,并且用 lightningWall 防火墙禁止联网 ,这样会不会受到感染?
kmahyyg
2015-11-02 23:25:10 +08:00
貌似百度输入法没有 v5.8.20

u0_a146@HM2014813:/ $ su
root@HM2014813:/ # busybox netstat -l -t -w -p
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address
State PID/Program name
tcp 0 0 :::40310 :::*
LISTEN 13417/com.baidu.net
tcp 0 0 :::7777 :::*
LISTEN 13377/com.baidu.net
root@HM2014813:/ # ps 13377
USER PID PPID VSIZE RSS WCHAN PC NAME
u0_a145 13377 220 355316 26360 ffffffff 40091938 S com.b
aidu.netdisk:bdservice_v1
root@HM2014813:/ # ps 13417
USER PID PPID VSIZE RSS WCHAN PC NAME
u0_a145 13417 220 356264 29956 ffffffff 40091938 S com.b
aidu.netdisk:bdmoservice

呵呵
kmahyyg
2015-11-02 23:25:42 +08:00
我装了百度云和输入法 @nonozone

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/232926

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX