继曝光网易邮箱泄露用户信息后,昨日,乌云平台再曝出更惊人的安全漏洞,这次被点名的是巨头百度。
乌云漏洞平台爆出百度旗下多款APP存在WormHole漏洞
昨日,乌云漏洞平台昨日爆出百度旗下多款APP存在WormHole漏洞,称安卓手机只要连接网络,无论Root与否都有被安装应用和远程控制的风险。
目前已知受到影响的APP包括:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。百度官方已经确认了这一说法,并采取紧急措施让产品团队紧急修复了该漏洞,并通过了严格的质检测试,正在更新所有受影响产品。
据乌云报告里描述,百度全系的安卓APP存在一个“WormHole (虫洞)”的安全漏洞,只要安卓设备连接网络,黑客就能对设备实现远程操控,安装指定应用。同时,还可上传隐私短信和照片,弹出对话框显示广告或钓鱼链接等。目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
所谓WormHole漏洞,是指无论是WiFi无线网络或者3G/4G蜂窝网络,只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机,无需使用DNS欺骗。此漏洞只与APP有关,不受系统版本影响。攻击者可以达到远程静默安装应用、远程启动任意应用、远程获取用户的GPS地理位置信息/获取imei信息/安装应用信息等目的。
据了解,WormHole漏洞除了对百度旗下多款APP造成了安全威胁之外,还影响到了许多安卓平台上的APP,如口袋理财、萌萌聊天等多款APP,对不少用户都带来了极大的安全隐患。
据了解,“WormHole 漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的,而此端口本来是用于广告网页、升级下载、推广APP的用途。黑客拿下这个端口的权限,便可以获得手机近乎全部的控制权。由于现在的科技越来越发达,技术手段越来越复杂,就使得现在的手机一旦出现安全问题,所带来的后果都越来越严重,所造成的影响也越来越大。第三方专业移动应用安全服务商爱加密提醒广大开发商和用户,移动互联网时代要更加注重移动应用安全,对自己的手机应用提前做好安全防护措施。
目前,百度回应称已经知晓漏洞并修复。也就是说,用户不用着急删除百度APP了。但为了安全起见,专业人士建议,安装上述受影响应用的用户应该尽快升级或重新下载应用的最新版本,如果最新版本也没有修复漏洞,用户应尽快删除受影响的应用,以免造成不必要的损失。
APP安全漏洞无处不在,连以技术闻名的BAT巨头之一的百度都难以幸免,开发者更要重视APP的安全,把APP安全放进APP的研发周期。爱加密从2012年成立以来,一直致力于APP的安全保护,从APP漏洞检测、APP加密、渠道检测等多个方式保护APP,为APP开发者保驾护航。
下一篇: 爱加密兼容安卓6.0,让移动安全再迈一步