Cómo evaluar la exposición de la plataforma de vulnerabilidad Wuyun a la puerta trasera WormHole en múltiples aplicaciones propiedad de Baidu
Esto no es una laguna jurídica, es una puerta trasera.
Las vulnerabilidades se producen de forma involuntaria. Se producen resultados inesperados después de ser descifrado. Es una negligencia de diseño.
Estas interfaces son interfaces de programación explícitas. En otras palabras, es un caballo de Troya.
Todas sus funciones están programadas activamente por Baidu y tienen la intención subjetiva del diseñador. Esto no es una vulnerabilidad, sino una puerta trasera.
Aunque el enmascaramiento de IP permite acceder a esta puerta trasera a través de la WAN, lo que magnifica el impacto de esta puerta trasera. Pero incluso sin este problema, incluso si está vinculado a 127.0.0.1, sigue siendo una puerta trasera absoluta para aplicaciones locales. Las puertas traseras locales no parecen tener sentido en los sistemas de PC, pero los sistemas móviles están controlados por permisos. Otras aplicaciones locales pueden usar esta puerta trasera para acceder a cosas a las que no tienen permiso, sin pasar por el sistema de permisos del sistema, y el impacto es muy malo. .
Supongo que Baidu no es el único que hace esto. Si otras empresas están interesadas, deberían abstenerse. No quedaría bien si quedara expuesto, ¿verdad?