曝安卓手機多款APP存安全漏洞 百度全係“中獎”
- 發佈時間:2015-10-29 08:20:33 來源:北京日報 責任編輯:金瀟
繼曝光網易郵箱洩露用戶資訊後,昨日,烏雲平臺再曝出更驚人的安全漏洞,這次被點名的是巨頭百度。
據烏雲報告,百度全係的安卓APP存在一個“WormHole (蟲洞)”的安全漏洞,只要安卓設備連接網路,駭客就能對設備實現遠端操控,安裝指定應用。同時,還可上傳隱私短信和照片,彈出對話方塊顯示廣告或釣魚連結等。目前,百度已經確認了該漏洞,並在回復中稱“此漏洞已知曉且mo + sdk已修復”。
據了解,WormHole漏洞影響到了許多安卓平臺上的APP,其中不少用戶數早已過億,以百度應用居多。目前已知受影響的APP包括百度地圖、百度瀏覽器、百度貼吧、百度翻譯、百度視頻、百度手機助手、百度雲、百度音樂、百度新聞、百度圖片、百度輸入法等,此外,還有口袋理財、萌萌聊天等多款APP。
據了解,“WormHole 漏洞”是基於百度的廣告端口存在身份驗證和許可權控制缺陷而産生的,而此端口本來是用於廣告網頁、升級下載、推廣APP的用途。駭客拿下這個端口的許可權,便可以獲得手機近乎全部的控制權。
值得注意的是,若手機存在WormHole漏洞,無論是wifi無線網路或者3G/4G 蜂窩網路,只要是手機在連網狀態下都有可能受到攻擊。攻擊者事先無需接觸手機,無需使用DNS欺騙。此漏洞只與APP有關,不受系統版本影響。攻擊者可以達到遠端靜默安裝應用、遠端啟動任意應用、遠端獲取用戶的GPS地理位置資訊和安裝應用資訊等目的。
目前,百度回應稱已經知曉漏洞並修復。也就是説,用戶不用著急刪除百度APP了。
但為了安全起見,專業人士建議,安裝上述受影響應用的用戶應該儘快升級或重新下載應用的最新版本,如果最新版本也沒有修復漏洞,用戶應儘快刪除受影響的應用,以免造成不必要的損失。
