百度全家桶APP安卓中抢,虫洞(wormhole)漏洞疯狂来袭

发表于:2015-10-29 11:00:00 来源: 黑客与极客 阅读数(0人)


日前,有安全研究员曝出百度旗下多款APP存在wormhole漏洞,安卓手机无论是否root,只要连接了网络便存在被远程操控的风险。


Wormhole漏洞:名副其实的虫洞


百度全家桶APP安卓中抢,虫洞(wormhole)漏洞疯狂来袭

 

10月20日,白帽子蒸米发微博称:


@瘦蛟舞和我发现了一个漏洞,该漏洞影响Android上数个用户过亿的app,我们把它称之为wormhole漏洞。只要连接了网络,就有被远程攻击的风险。

知情人士透露,由于漏洞厂商还在修复中,因此细节无法公之于众。


据安全专家推测,“wormhole漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广APP的用途。攻击者一旦拿下这个端口的权限,便可以获得手机近乎全部的控制。


“说白了,就是APP监听了一个端口。”

“虫洞”对安卓用户有什么影响?


攻击者可以利用此漏洞进行以下操作:


·对手机实现远程操控;
·安装指定应用;
·启动任意程序;
·上传隐私信息和照片;
·弹对话框显示广告或者钓鱼链接;
·......

而且这一切都不需要攻击者接触用户手机,只需通过Wifi无线网络或者3G/4G蜂窝网络即可进行攻击。3G/4G网络就是一个很大的局域网,因此用户危险系数直线增加。


漏洞影响及安全建议


根据知名科技博主月光博客“目前已知受wormhole影响APP列表”图片显示,包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频等多款热门应用中招。


百度全家桶APP安卓中抢,虫洞(wormhole)漏洞疯狂来袭

 

截止10月28日19时许受影响APP的更新情况,并提出对应的安全建议,请广大受影响用户为了安全起见,进行处理:


百度全家桶APP安卓中抢,虫洞(wormhole)漏洞疯狂来袭

 

注:

1、数据来自百度手机助手,鉴于此次APP多数为百度,因此官网更新或者百度应用自身为最快的途径;
2、统计中,小编没有搜索到“萌萌聊天”,便使用联想“乐商店”的数据信息进行统计。

百度回应


目前已发现的百度系中招APP数量众多,面对这潜在的巨大危害,百度已经确认了该漏洞,并淡定回复:“此漏洞以知晓且mo + sdk已修复。”


数据显示,百度确实在发现漏洞之后进行了修复,但仍存在部分应用程序未及时更新。


有消息称国内某安全团队已经开始开发“wormhole漏洞”检测工具,此次漏洞影响规模堪比上次苹果Xcode。


相关新闻

大家都在学

课程详情

Android安全基础

课程详情

Android基础编程

课程详情

网络安全事件