FreeBuf 追踪报道:虫洞(wormhole)漏洞来袭,多款百度热门安卓应用中枪

2015-10-28 733852人围观 ,发现 44 个不明物体 头条终端安全

   

日前,有安全研究员曝出百度旗下多款APP存在wormhole漏洞,安卓手机无论是否root,只要连接了网络便存在被远程操控的风险。

Wormhole漏洞:名副其实的虫洞

10月20日,白帽子蒸米发微博称:

@瘦蛟舞和我发现了一个漏洞,该漏洞影响Android上数个用户过亿的app,我们把它称之为wormhole漏洞。只要连接了网络,就有被远程攻击的风险。

知情人士透露,由于漏洞厂商还在修复中,因此细节无法公之于众。

据安全专家推测,“wormhole漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广APP的用途。攻击者一旦拿下这个端口的权限,便可以获得手机近乎全部的控制。

“说白了,就是APP监听了一个端口。”

“虫洞”对安卓用户有什么影响?

攻击者可以利用此漏洞进行以下操作:

·对手机实现远程操控;
·安装指定应用;
·启动任意程序;
·上传隐私信息和照片;
·弹对话框显示广告或者钓鱼链接;
·......

而且这一切都不需要攻击者接触用户手机,只需通过Wifi无线网络或者3G/4G蜂窝网络即可进行攻击。3G/4G网络就是一个很大的局域网,因此用户危险系数直线增加。

漏洞影响及安全建议

根据知名科技博主月光博客“目前已知受wormhole影响APP列表”图片显示,包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频等多款热门应用中招。

FreeBuf 据此统计了截止10月28日19时许受影响APP的更新情况,并提出对应的安全建议,请广大受影响用户为了安全起见,进行处理:

注:

1、数据来自百度手机助手,鉴于此次APP多数为百度,因此官网更新或者百度应用自身为最快的途径;
2、统计中,小编没有搜索到“萌萌聊天”,便使用联想“乐商店”的数据信息进行统计。

FreeBuf 下午采访了一位业内资深安全专家,当询问到此次“虫洞”是否可能为百度后门时,对方表示“没有后门的可能。虽然看起来像”。 

百度回应

目前已发现的百度系中招APP数量众多,面对这潜在的巨大危害,百度已经确认了该漏洞,并淡定回复:“此漏洞以知晓且mo + sdk已修复。”

然而,从FreeBuf 统计的数据显示,百度确实在发现漏洞之后进行了修复,但仍存在部分应用程序未及时更新。

有消息称国内某安全团队已经开始开发“wormhole漏洞”检测工具,此次漏洞影响规模堪比上次苹果Xcode。随着漏洞细节的逐步披露必将带来更多影响,对于事件的未来发展,FreeBuf会进行持续关注。

*FreeBuf 独家整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • 转瞬间才发现 回复
    百度全家桶[微笑]
    )9( 亮了
  • 种种种种种子 回复
    说的好!这分明就是百度自己留给自己的后门,现在被发现了才说要修复。谁知道他们还有什么鬼手段没被发现的 :mad:
    )8( 亮了
  • 厅长 回复
    什么鬼,估计是百度留后门惹的货,全是百度产品
    )8( 亮了
  • 谁的Gemma__ 回复
    这本来就是百度的后门吧,我想知道如果没被发现会怎样?呵呵~
    )7( 亮了
发表评论

已有 44 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php