比葫芦娃还可怕的百度全系 APP SDK 漏洞 在线检测工具,都来体检下吧

2015-11-03 15:12:29 +08:00
 ssltest

比葫芦娃还可怕的百度全系 APP SDK 漏洞介绍:
http://drops.wooyun.org/papers/10061

在线检测地址: http://www.codefrom.com/wormhole/ (记得在手机浏览器打开,记得在手机浏览器打开,记得在手机浏览器打开!)

安装了有漏洞的 APP 会有什么后果和危害呢?

无论是 wifi 无线网络或者 3G/4G 蜂窝网络,只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机,无需使用 DNS 欺骗。

此漏洞只与 app 有关,不受系统版本影响,在 google 最新的 android 6.0 上均测试成功。

漏洞可以达到如下攻击效果:
    远程静默安装应用
    远程启动任意应用
    远程打开任意网页
    远程静默添加联系人
    远程获取用用户的 GPS 地理位置信息 /获取 imei 信息 /安装应用信息
    远程发送任意 intent 广播
    远程读取写入文件等。
5731 次点击
所在节点    推广
36 条回复
ssltest
2015-11-03 18:23:48 +08:00
@tigerstudent 这玩意如果全网段扫也是要被搞的,我们这是友情提示 ,赶紧升级的升级,卸载的卸载,不要掩耳盗铃啊。
lvfujun
2015-11-03 18:44:03 +08:00
根本检测不出。。。。。。
bk201
2015-11-03 18:46:46 +08:00
百度会蠢到留这样的漏洞,明显故意的
pinqy520
2015-11-03 19:14:19 +08:00
@bk201 好有道理的感觉~。。。
sdxlh007
2015-11-03 19:20:49 +08:00
装了百度输入法,百度地图,爱奇艺等都不是最新版本,检测结果都是不受影响,
R18
2015-11-03 19:35:28 +08:00
我装了百度全家桶,都没检测出来
fyu2012
2015-11-03 19:40:56 +08:00
米 4 ,装了爱奇艺,输入法,地图。没检测出来。
pinqy520
2015-11-03 19:53:14 +08:00
刚用公司的测试机,老的 HTC 测试了以下也弹出受影响,用同事的 VIVO 就没啥问题~。。。
fyu2012
2015-11-03 20:14:22 +08:00
其实有最简单的测试办法, adb shell 进去 netstat 看下端口, 结果并没有啥在跑的诡异端口号
d8
2015-11-03 21:13:56 +08:00
手机 root 了,安装百度输入法 3.2.5.10 提示不受影响
sexoutsex2011
2015-11-03 21:16:29 +08:00
手机暂不受 WormHole 漏洞影响!
loveyu
2015-11-03 23:12:16 +08:00
百度输入法中招
Mavious
2015-11-04 03:51:18 +08:00
hebeiround
2015-11-04 14:33:40 +08:00
iOS 应该没问题吧
acess
2015-11-04 18:24:00 +08:00
@jasontse 这个站不可信吗?
standin000
2015-11-04 21:08:26 +08:00
@hebeiround 我试过,提示没有问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/233263

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX