繼曝光網(wǎng)易郵箱泄露用戶信息后,昨日(10月28日),烏云平臺再曝出更驚人的安全漏洞,這次被點名的是巨頭百度。
據(jù)烏云報告,百度全系的安卓APP存在一個“WormHole (蟲洞)”的安全漏洞,只要安卓設(shè)備連接網(wǎng)絡(luò),黑客就能對設(shè)備實現(xiàn)遠程操控,安裝指定應(yīng)用。同時,還可上傳隱私短信和照片,彈出對話框顯示廣告或釣魚鏈接等。目前,百度已經(jīng)確認了該漏洞,并在回復(fù)中稱“此漏洞已知曉且mo + sdk已修復(fù)”。
據(jù)了解,WormHole漏洞影響到了許多安卓平臺上的APP,其中不少用戶數(shù)早已過億,以百度應(yīng)用居多。目前已知受影響的APP包括百度地圖、百度瀏覽器、百度貼吧、百度翻譯、百度視頻、百度手機助手、百度云、百度音樂、百度新聞、百度圖片、百度輸入法等,此外,還有口袋理財、萌萌聊天等多款A(yù)PP。
據(jù)了解,“WormHole 漏洞”是基于百度的廣告端口存在身份驗證和權(quán)限控制缺陷而產(chǎn)生的,而此端口本來是用于廣告網(wǎng)頁、升級下載、推廣APP的用途。黑客拿下這個端口的權(quán)限,便可以獲得手機近乎全部的控制權(quán)。
值得注意的是,若手機存在WormHole漏洞,無論是wifi無線網(wǎng)絡(luò)或者3G/4G 蜂窩網(wǎng)絡(luò),只要是手機在連網(wǎng)狀態(tài)下都有可能受到攻擊。攻擊者事先無需接觸手機,無需使用DNS欺騙。此漏洞只與APP有關(guān),不受系統(tǒng)版本影響。攻擊者可以達到遠程靜默安裝應(yīng)用、遠程啟動任意應(yīng)用、遠程獲取用戶的GPS地理位置信息和安裝應(yīng)用信息等目的。
目前,百度回應(yīng)稱已經(jīng)知曉漏洞并修復(fù)。也就是說,用戶不用著急刪除百度APP了。
但為了安全起見,專業(yè)人士建議,安裝上述受影響應(yīng)用的用戶應(yīng)該盡快升級或重新下載應(yīng)用的最新版本,如果最新版本也沒有修復(fù)漏洞,用戶應(yīng)盡快刪除受影響的應(yīng)用,以免造成不必要的損失。(實習(xí)記者 范曉)
更多精彩資訊>>>
猜你喜歡
廣東省推出第二批5項青年民 
德國物價創(chuàng)近三十年新高 通 
網(wǎng)聯(lián)平臺:春節(jié)假期前5天處 
個人養(yǎng)老金制度加速崛起 金 
安徽省新增上市公司數(shù)創(chuàng)歷史 
爭產(chǎn)大戲頻頻上演,財富傳承 
北京科銳子公司榮獲2022年度 
女車主通過"團團車行"賣車遇 
