继曝光网易邮箱泄露用户信息后,昨日,乌云平台再曝出更惊人的安全漏洞,这次被点名的是巨头百度。
据乌云报告,百度全系的安卓APP存在一个“WormHole (虫洞)”的安全漏洞,只要安卓设备连接网络,黑客就能对设备实现远程操控,安装指定应用。同时,还可上传隐私短信和照片,弹出对话框显示广告或钓鱼链接等。目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
据了解,WormHole漏洞影响到了许多安卓平台上的APP,其中不少用户数早已过亿,以百度应用居多。目前已知受影响的APP包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等,此外,还有口袋理财、萌萌聊天等多款APP。
据了解,“WormHole 漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的,而此端口本来是用于广告网页、升级下载、推广APP的用途。黑客拿下这个端口的权限,便可以获得手机近乎全部的控制权。
值得注意的是,若手机存在WormHole漏洞,无论是wifi无线网络或者3G/4G 蜂窝网络,只要是手机在连网状态下都有可能受到攻击。攻击者事先无需接触手机,无需使用DNS欺骗。此漏洞只与APP有关,不受系统版本影响。攻击者可以达到远程静默安装应用、远程启动任意应用、远程获取用户的GPS地理位置信息和安装应用信息等目的。
目前,百度回应称已经知晓漏洞并修复。也就是说,用户不用着急删除百度APP了。
但为了安全起见,专业人士建议,安装上述受影响应用的用户应该尽快升级或重新下载应用的最新版本,如果最新版本也没有修复漏洞,用户应尽快删除受影响的应用,以免造成不必要的损失。(实习记者 范晓)
- 首个网贷平台收费标准出台 无收费标准妨碍行业发展 2015/10/29
- 天津互联网金融研讨会:“把脉”互联网时代金融改革 2015/10/29
- 克莱斯勒召回进口道奇酷威汽车 大陆涉及 2015/10/29
- 部分进口菲亚特菲跃汽车被召回 大陆涉5325辆 2015/10/29
- 中国互联网行业巨头从“群雄逐鹿”转“联姻合并” 2015/10/29