昨天�����,一份“百度全系A(chǔ)PP SDK漏洞——WormHole蟲洞漏洞分析報(bào)告”在網(wǎng)上流傳�����。文中稱,“找到了一個非常嚴(yán)重的socket遠(yuǎn)程攻擊漏洞,影響多個用戶量過億的APP���!睘榇耍俣确矫鎸Ρ本┣嗄陥(bào)記者回應(yīng)已經(jīng)在第一時間將漏洞修復(fù)�����,建議用戶盡快升級到最新版本���;同時表示蘋果用戶不受影響��。
北青報(bào)記者發(fā)現(xiàn)���,該漏洞10月14日已在烏云平臺上提交,標(biāo)題為“百度系應(yīng)用安卓版遠(yuǎn)程代碼執(zhí)行漏洞(百度地圖/輸入法為例)”�。據(jù)烏云報(bào)告�����,百度全系安卓APP存在一個“WormHole”的安全漏洞,只要安卓設(shè)備連接網(wǎng)絡(luò)�����,無論是否root����,黑客都能對設(shè)備實(shí)現(xiàn)遠(yuǎn)程操控,安裝指定應(yīng)用��;同時����,還可上傳隱私短信和照片,彈出對話框顯示廣告或釣魚鏈接等�。據(jù)烏云報(bào)告�����,該漏洞影響許多安卓平臺用戶量過億的APP,其中便包括:百度地圖���、百度云、百度輸入法等十多款百度系A(chǔ)PP���。
專業(yè)人士指出,“WormHole”是基于百度的廣告端口存在身份驗(yàn)證和權(quán)限控制缺陷而產(chǎn)生的�。此端口本來是用于廣告網(wǎng)頁���、升級下載��、推廣APP 的用途��。黑客拿下這個端口的權(quán)限����,便可以獲得手機(jī)近乎全部的控制權(quán)。
為此,百度方面對北青報(bào)記者回應(yīng)表示,“百度安全團(tuán)隊(duì)在此之前已發(fā)布預(yù)警信息���,并在第一時間進(jìn)行了漏洞修復(fù)。目前,百度系列產(chǎn)品安卓版本已全部完成新版本更新上線�����,蘋果手機(jī)產(chǎn)品不受影響����。請用戶盡快升級到最新版。感謝安全社區(qū)的幫助和大家關(guān)心���!本W(wǎng)友對此迅速響應(yīng)評論道“態(tài)度不錯”、“百度速度就是快”����。(見習(xí)記者 溫婧)
