乌云漏洞平台昨日公布，百度多款APP含WormHole漏洞。安装了这些APP的安卓手机，只要连接网络，无论是无线wifi还是手机流量3G/4G，攻击者都可以无需接触手机，无需使用DNS欺骗技术，远程启动任意应用，获取用户GPS地理位置/imei/安装应用等信息，在某些情况下，攻击者甚至可以远程静默安装应用。

这些APP包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。此外，口袋理财、萌萌聊天等多款App也受此影响。这些APP流行非常之广，下载安装量至少过亿。如果被恶意黑客掌握攻击方法，危害将会很大。

安全牛小编联系上一位了解内情的资深白帽技术人员。他表示，这个漏洞实际上是APP正常的服务功能，只是忽略了验证机制。只要攻击者在任意wifi或手机流量上网的区域内扫描到可提供服务的特定端口，即可发动攻击。

该技术人员还表示，这种漏洞出现的原因非常低级，就是未能严格遵守业内已经执行好多年的安全开发周期（SDL），开发人员使用了存在安全问题的软件开发工具包（SDK），这种漏洞不是技术上的问题，而是管理和意识上的问题。

乌云平台上显示，该漏洞于10月21日提交，目前百度方面表示“此漏洞已知晓且mo + sdk已修复”。

建议安装上述APP的用户应该尽快更新到最新版本，以免个人利益受到损失。