继曝光网易邮箱泄露用户信息后,昨日,乌云平台再曝出更惊人的安全漏洞,这次被点名的是巨头百度。
据乌云报告,百度全系的安卓APP(APP行业分析报告)存在一个“WormHole (虫洞)”的安全漏洞,只要安卓设备连接网络,黑客就能对设备实现远程操控,安装指定应用。同时,还可上传隐私短信和照片,弹出对话框显示广告或钓鱼链接等。目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
据了解,WormHole漏洞影响到了许多安卓平台上的APP,其中不少用户数早已过亿,以百度应用居多。目前已知受影响的APP包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等,此外,还有口袋理财、萌萌聊天等多款APP。
据了解,“WormHole 漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的,而此端口本来是用于广告网页、升级下载、推广APP的用途。黑客拿下这个端口的权限,便可以获得手机近乎全部的控制权。
值得注意的是,若手机存在WormHole漏洞,无论是wifi无线网络或者3G/4G 蜂窝网络,只要是手机在连网状态下都有可能受到攻击。攻击者事先无需接触手机,无需使用DNS欺骗。此漏洞只与APP有关,不受系统版本影响。攻击者可以达到远程静默安装应用、远程启动任意应用、远程获取用户的GPS地理位置信息和安装应用信息等目的。
目前,百度回应称已经知晓漏洞并修复。也就是说,用户不用着急删除百度APP了。
但为了安全起见,专业人士建议,安装上述受影响应用的用户应该尽快升级或重新下载应用的最新版本,如果最新版本也没有修复漏洞,用户应尽快删除受影响的应用,以免造成不必要的损失。