乌云曝百度多款APP存WormHole漏洞 包括百度地图、百度新闻、输入法等
作者:星期四, 十月 29, 20150

乌云漏洞平台昨日公布,百度多款APP含WormHole漏洞。安装了这些APP的安卓手机,只要连接网络,无论是无线wifi还是手机流量3G/4G,攻击者都可以无需接触手机,无需使用DNS欺骗技术,远程启动任意应用,获取用户GPS地理位置/imei/安装应用等信息,在某些情况下,攻击者甚至可以远程静默安装应用。

640.webp (1)

这些APP包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。此外,口袋理财、萌萌聊天等多款App也受此影响。这些APP流行非常之广,下载安装量至少过亿。如果被恶意黑客掌握攻击方法,危害将会很大。

安全牛小编联系上一位了解内情的资深白帽技术人员。他表示,这个漏洞实际上是APP正常的服务功能,只是忽略了验证机制。只要攻击者在任意wifi或手机流量上网的区域内扫描到可提供服务的特定端口,即可发动攻击。

该技术人员还表示,这种漏洞出现的原因非常低级,就是未能严格遵守业内已经执行好多年的安全开发周期(SDL),开发人员使用了存在安全问题的软件开发工具包(SDK),这种漏洞不是技术上的问题,而是管理和意识上的问题

乌云平台上显示,该漏洞于10月21日提交,目前百度方面表示“此漏洞已知晓且mo + sdk已修复”。

建议安装上述APP的用户应该尽快更新到最新版本,以免个人利益受到损失。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!