百度官方wormHole后门检测记录(转)

本次这个安卓后门真是哔了狗了，刚加入大安卓阵营就出了这个篓子，跟你root不root和什么安卓版本没有版毛钱关系，完全是百度SDK官方提供的后门，不是漏洞，人为的。

乌云地址：http://drops.wooyun.org/papers/10061

后门端口：40310/6259

 本次测试在Ubuntu下，具体adb调试工具参考 sink_cup的博客 http://www.cnblogs.com/sink_cup/archive/2011/10/31/ubuntu_x64_android_sdk_java.html

lsusb 查看usb设备

 

 

下载SDK实在太慢了 放弃，上端口扫描

安装 zenmap

 

扫描端口

 

 

估计上面几个端口是华为系统的自带端口（希望不要有坑）

安装手机百度APP 再扫描一遍

没有发现，APP已经更新掉了，换个蚂蚁短租 APP

HTTP 请求下

 

具体获取资源的请求链接如下：

服务查询

'http://127.0.0.1:40310/getcuid?secret=0&mcmdf=inapp_',

'http://127.0.0.1:40310/geolocation?mcmdf=inapp_',

'http://127.0.0.1:40310/getapn?mcmdf=inapp_',

'http://127.0.0.1:40310/getapplist?mcmdf=inapp_',

'http://127.0.0.1:6259/getcuid?secret=0&mcmdf=inapp_',

'http://127.0.0.1:6259/geolocation?mcmdf=inapp_',

'http://127.0.0.1:6259/getapn?mcmdf=inapp_',

'http://127.0.0.1:6259/getapplist?mcmdf=inapp_'

搜着搜着突然发现 V2EX两个月前的一个帖子

http://cn.v2ex.com/t/218539

 本文地址：http://www.cnblogs.com/martin-tan/p/4935507.html 

总结：任何手机都不要root，华为安卓系统会再锁频后自动清理后台程序，如果没有允许后台驻守，锁频之后端口就关掉了，还有就是不要用任何百度系的产品。

 

转载请注明出处：http://www.cnblogs.com/martin-tan/