首页
社区
课程
招聘
WormHole虫洞漏洞分析
发表于: 2015-11-9 16:13 3710

WormHole虫洞漏洞分析

2015-11-9 16:13
3710
0x01 介绍
  一个由百度提供的软件开发包被曝其中内含后门,攻击者可以轻易利用这一后门侵入用户的Android移动设备。该软件开发包名为Moplus。虽然它并不向公众开放,但是它已经被集成在了1万4千余款应用程序之中,其中只有约4000余款是由百度开发的。预计,受影响的应用正在被超过1亿的用户使用中。利用这一漏洞可以获得如位置信息、搜索记录等隐私信息,并能够添加新的联系人、上传文件、拨打电话、显示虚假消息,以及安装应用等危险操作。在已经被root的Android设备上,Moplus SDK将能够允许应用程序静默安装。
  具不完全统计目前受影响的APP:
足球直播
助手贴吧
中国蓝HD
掌上百度
优米课堂
音悦台
央视影音
修车易
百度云
百度游戏大全
百度音乐2014
百度新闻
百度团购
百度贴吧HD
百度输入法
百度手机助手
百度浏览器
百度翻译
百度地图
百度HD
百度
安卓市场
爱奇艺视频
VidNow
Video Now
T2F话友
。。。。
目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。

0x02 分析过程
  1)准备
    一台已经安装了带有后门的APP的安卓设备,调试工具(android SDK  jd-gui-0.3.6)。
2)过程
这里以百度地图为例进行分析测试。
查看源码
 
依次点击com.baidu.hello.patch.moplus.ImmortalService可看到下面代码
 
这里可以很清楚的看到,监听了本地的40310端口。
再来看看moplus SDK都隐藏了哪些邪恶的功能
 
获取APP列表、机器ID等,反正都是系统的敏感信息,还可以添加联系人、打电话、发短信…
开启模拟器很简单,就不再扯了。
打开之后可以看到,已经安装好了一个百度地图

现在查看一下是否真的监听了40310端口
 
这里确实打开了这个端口
然后把端口映射出来
 http://erange.heetian.com/server/files/upload/guidebook/image/0a6cb710-029e-4800-bdc5-22100cf50a36.png
现在利用谷歌的一个插件postman进行发包测试
 
在URL处填写发送的get请求,然后点击send,请求就已经发送出去了。这里也就是http://127.0.0.1:40310/getapplist?secret=0&mcmdf=inapp_baidu_bdgjs&callback=_box_jsonp506,这里获取的是APP列表,下面返回包可以看到,获取其他信息可以自行尝试。如果是在真实环境中测试,注意要在请求头中加上remote-addr:127.0.0.1,这样就可以绕过代码中的校验。

0x03总结
    做完整个实验,也大概清楚了过程。APP安装完成后,自动打开一个端口(后门),同时权限控制不严,没有进行身份认证,这就导致这个端口是“开放”的,它将接收和解析任意的请求,只需一个命令,即可发生攻击。这里给出一个优酷视频,供大家学习http://v.youku.com/v_show/id_XMTM3ODI0NTE3Ng==.html?qq-pf-to=pcqq.c2c

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 133
活跃值: (122)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
还没接触安卓,感谢分享,留着学习。
2015-11-9 16:24
0
雪    币: 65
活跃值: (30)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
一起学习,
2015-11-9 16:25
0
雪    币: 445
活跃值: (52)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
顶一个,好文~
2015-11-9 17:10
0
游客
登录 | 注册 方可回帖
返回
//