百度 WormHole 漏洞分析

还记得9月份 Xcode 曝 XcodeGhost 漏洞的时候,网络上一片哗然,大家纷纷叹息一直以安全性著称的 iOS 系统也不再安全了,像微信、网易云音乐等安装量过亿的 APP 纷纷中枪。接着是各种漏洞利用的分析,分析一轮下来,最令人咋舌的就是可以通过这个漏洞来获取用户 appleID 了。

然而事过两个月之后百度 Android APP 被爆出了 WormHole 虫洞漏洞,与其说这是一个漏洞,倒不如说这是百度自己留下的一个后门。百度全系APP连同使用了百度地图的APP纷纷中枪,影响用户同样过亿。该后门之流氓程度与XcodeGhost相比有过之而无不及,包括静默下载任意文件、后台上传用户文件等各种流氓行径。

下面就来分析一下 WormHole 漏洞吧

Read More

APP安全性解析

翻看一下乌云上面关于 APP 的漏洞,发现有不少漏洞都是很弱智的错误,而且部分厂家还会选择主动忽略漏洞。按照近期公布的《第36次中国互联网络发展状况统计调查报告》显示,我国网民规模达6.68亿,其中手机网民规模达5.94亿,手机上网人群已超过台式机、笔记本等传统上网模式。如此规模的网民,安全问题却还没有获得足够的重视。

这一篇文章只是对 APP 中常见的安全问题做一个汇总概述,后续可能会单独拿出来一一详解。

Read More