-
-
WormHole虫洞漏洞分析
-
发表于: 2015-11-9 16:13
-
0x01 介绍
一个由百度提供的软件开发包被曝其中内含后门,攻击者可以轻易利用这一后门侵入用户的Android移动设备。该软件开发包名为Moplus。虽然它并不向公众开放,但是它已经被集成在了1万4千余款应用程序之中,其中只有约4000余款是由百度开发的。预计,受影响的应用正在被超过1亿的用户使用中。利用这一漏洞可以获得如位置信息、搜索记录等隐私信息,并能够添加新的联系人、上传文件、拨打电话、显示虚假消息,以及安装应用等危险操作。在已经被root的Android设备上,Moplus SDK将能够允许应用程序静默安装。
具不完全统计目前受影响的APP:
足球直播
助手贴吧
中国蓝HD
掌上百度
优米课堂
音悦台
央视影音
修车易
百度云
百度游戏大全
百度音乐2014
百度新闻
百度团购
百度贴吧HD
百度输入法
百度手机助手
百度浏览器
百度翻译
百度地图
百度HD
百度
安卓市场
爱奇艺视频
VidNow
Video Now
T2F话友
。。。。
目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
0x02 分析过程
1)准备
一台已经安装了带有后门的APP的安卓设备,调试工具(android SDK jd-gui-0.3.6)。
2)过程
这里以百度地图为例进行分析测试。
查看源码
依次点击com.baidu.hello.patch.moplus.ImmortalService可看到下面代码
这里可以很清楚的看到,监听了本地的40310端口。
再来看看moplus SDK都隐藏了哪些邪恶的功能
获取APP列表、机器ID等,反正都是系统的敏感信息,还可以添加联系人、打电话、发短信…
开启模拟器很简单,就不再扯了。
打开之后可以看到,已经安装好了一个百度地图
现在查看一下是否真的监听了40310端口
这里确实打开了这个端口
然后把端口映射出来
http://erange.heetian.com/server/files/upload/guidebook/image/0a6cb710-029e-4800-bdc5-22100cf50a36.png
现在利用谷歌的一个插件postman进行发包测试
在URL处填写发送的get请求,然后点击send,请求就已经发送出去了。这里也就是http://127.0.0.1:40310/getapplist?secret=0&mcmdf=inapp_baidu_bdgjs&callback=_box_jsonp506,这里获取的是APP列表,下面返回包可以看到,获取其他信息可以自行尝试。如果是在真实环境中测试,注意要在请求头中加上remote-addr:127.0.0.1,这样就可以绕过代码中的校验。
0x03总结
做完整个实验,也大概清楚了过程。APP安装完成后,自动打开一个端口(后门),同时权限控制不严,没有进行身份认证,这就导致这个端口是“开放”的,它将接收和解析任意的请求,只需一个命令,即可发生攻击。这里给出一个优酷视频,供大家学习http://v.youku.com/v_show/id_XMTM3ODI0NTE3Ng==.html?qq-pf-to=pcqq.c2c
一个由百度提供的软件开发包被曝其中内含后门,攻击者可以轻易利用这一后门侵入用户的Android移动设备。该软件开发包名为Moplus。虽然它并不向公众开放,但是它已经被集成在了1万4千余款应用程序之中,其中只有约4000余款是由百度开发的。预计,受影响的应用正在被超过1亿的用户使用中。利用这一漏洞可以获得如位置信息、搜索记录等隐私信息,并能够添加新的联系人、上传文件、拨打电话、显示虚假消息,以及安装应用等危险操作。在已经被root的Android设备上,Moplus SDK将能够允许应用程序静默安装。
具不完全统计目前受影响的APP:
足球直播
助手贴吧
中国蓝HD
掌上百度
优米课堂
音悦台
央视影音
修车易
百度云
百度游戏大全
百度音乐2014
百度新闻
百度团购
百度贴吧HD
百度输入法
百度手机助手
百度浏览器
百度翻译
百度地图
百度HD
百度
安卓市场
爱奇艺视频
VidNow
Video Now
T2F话友
。。。。
目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
0x02 分析过程
1)准备
一台已经安装了带有后门的APP的安卓设备,调试工具(android SDK jd-gui-0.3.6)。
2)过程
这里以百度地图为例进行分析测试。
查看源码
依次点击com.baidu.hello.patch.moplus.ImmortalService可看到下面代码
这里可以很清楚的看到,监听了本地的40310端口。
再来看看moplus SDK都隐藏了哪些邪恶的功能
获取APP列表、机器ID等,反正都是系统的敏感信息,还可以添加联系人、打电话、发短信…
开启模拟器很简单,就不再扯了。
打开之后可以看到,已经安装好了一个百度地图
现在查看一下是否真的监听了40310端口
这里确实打开了这个端口
然后把端口映射出来
http://erange.heetian.com/server/files/upload/guidebook/image/0a6cb710-029e-4800-bdc5-22100cf50a36.png
现在利用谷歌的一个插件postman进行发包测试
在URL处填写发送的get请求,然后点击send,请求就已经发送出去了。这里也就是http://127.0.0.1:40310/getapplist?secret=0&mcmdf=inapp_baidu_bdgjs&callback=_box_jsonp506,这里获取的是APP列表,下面返回包可以看到,获取其他信息可以自行尝试。如果是在真实环境中测试,注意要在请求头中加上remote-addr:127.0.0.1,这样就可以绕过代码中的校验。
0x03总结
做完整个实验,也大概清楚了过程。APP安装完成后,自动打开一个端口(后门),同时权限控制不严,没有进行身份认证,这就导致这个端口是“开放”的,它将接收和解析任意的请求,只需一个命令,即可发生攻击。这里给出一个优酷视频,供大家学习http://v.youku.com/v_show/id_XMTM3ODI0NTE3Ng==.html?qq-pf-to=pcqq.c2c
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
