比葫芦娃还可怕的百度全系 APP SDK 漏洞 在线检测工具,都来体检下吧

2015 年 11 月 3 日
 ssltest

比葫芦娃还可怕的百度全系 APP SDK 漏洞介绍:
http://drops.wooyun.org/papers/10061

在线检测地址: http://www.codefrom.com/wormhole/ (记得在手机浏览器打开,记得在手机浏览器打开,记得在手机浏览器打开!)

安装了有漏洞的 APP 会有什么后果和危害呢?

无论是 wifi 无线网络或者 3G/4G 蜂窝网络,只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机,无需使用 DNS 欺骗。

此漏洞只与 app 有关,不受系统版本影响,在 google 最新的 android 6.0 上均测试成功。

漏洞可以达到如下攻击效果:
    远程静默安装应用
    远程启动任意应用
    远程打开任意网页
    远程静默添加联系人
    远程获取用用户的 GPS 地理位置信息 /获取 imei 信息 /安装应用信息
    远程发送任意 intent 广播
    远程读取写入文件等。
6740 次点击
所在节点    推广
36 条回复
ssltest
2015 年 11 月 3 日
@tigerstudent 这玩意如果全网段扫也是要被搞的,我们这是友情提示 ,赶紧升级的升级,卸载的卸载,不要掩耳盗铃啊。
lvfujun
2015 年 11 月 3 日
根本检测不出。。。。。。
bk201
2015 年 11 月 3 日
百度会蠢到留这样的漏洞,明显故意的
pinqy520
2015 年 11 月 3 日
@bk201 好有道理的感觉~。。。
sdxlh007
2015 年 11 月 3 日
装了百度输入法,百度地图,爱奇艺等都不是最新版本,检测结果都是不受影响,
R18
2015 年 11 月 3 日
我装了百度全家桶,都没检测出来
fyu2012
2015 年 11 月 3 日
米 4 ,装了爱奇艺,输入法,地图。没检测出来。
pinqy520
2015 年 11 月 3 日
刚用公司的测试机,老的 HTC 测试了以下也弹出受影响,用同事的 VIVO 就没啥问题~。。。
fyu2012
2015 年 11 月 3 日
其实有最简单的测试办法, adb shell 进去 netstat 看下端口, 结果并没有啥在跑的诡异端口号
d8
2015 年 11 月 3 日
手机 root 了,安装百度输入法 3.2.5.10 提示不受影响
laowu2012
2015 年 11 月 3 日
手机暂不受 WormHole 漏洞影响!
loveyu
2015 年 11 月 3 日
百度输入法中招
Mavious
2015 年 11 月 4 日
@dingz
hebeiround
2015 年 11 月 4 日
iOS 应该没问题吧
acess
2015 年 11 月 4 日
@jasontse 这个站不可信吗?
standin000
2015 年 11 月 4 日
@hebeiround 我试过,提示没有问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/233263

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX