又来 app 高危漏洞,Android 用户记得更新百度全家桶

公司

2015-10-29 00:18

iOS 的 XcodeGhost 漏洞事件才结束不久,Android 用户紧接着就迎来了一次安全危机。

乌云平台发布报告称,已经有白帽子发现了多款 Android 应用存在 WormHole 漏洞,黑客可以利用这个漏洞攻击任何存在漏洞的联网手机,执行恶意代码就可以直接操控你手中的手机。

wooyun

首先要提及的是,WormHole 漏洞是什么?

这个漏洞的发现者实际身份是阿里研究院的一名工程师,当然它的另一个身份就是这次事件中的白帽子,他先是发现了百度旗下多款应用存在 WormHole 漏洞。

不管你是 Android 的哪个系统平台(包括 Android M),他都可以直接通过这个漏洞攻击任何联网的 Android 手机,无论手机是否 root,它都可以让存在漏洞的手机弹出消息,弹出另一个应用,上传手机内数据,或者打开任意一个植入木马或者病毒的网页链接。

那么到底是哪些 app 中招了?

据不完全统计,目前网络上的信息都指向了百度的多款应用,这些应用是:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等,当然还有一些第三方的应用像口袋理财或者萌萌聊天等。

一些媒体咨询了相关的安全专家:“WormHole 漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广 app 的用途。

所以我中招了,解救办法是什么?

目前乌云的这些漏洞已经得到了百度官方的确认,并已进行修复,百度方面表示目前升级到最新的软件即可解决这个问题。

相关的安全专家则建议,软件应该升级到官方的最新版本,如果这些软件还没有进行封堵漏洞的更新,用户应该卸载有漏洞的 app。

wooyun1

实际上,在最近的乌云漏洞平台报告中,乌云也指出了华为手机方面存在的 WormHole 漏洞,而且百度的相关漏洞也是在 10 月 20 号左右提交的,虽然被影响的 app 涉及用户数过亿,不过目前看来还没造成过大影响。

互联网时代,安全问题已经屡次被厂商提及,前段时间 163 网易邮箱的用户密码泄露事件,这个安全问题已因邮箱在互联生活中的特殊地位带来了极大的影响,黑客可以通过邮箱窃取绑定的其他平台账号,例如锁定你的手机,重置你其他平台的密码等。

我们所存在的互联空间中,终端与终端的互联也变的简单,这些连接也打破了传统安全基础设备那堵墙。360 总裁齐向东曾将移动互联网时代的安全问题比作矛与盾,即简单的攻防原理

所以即使特别在意频发的漏洞问题,仍然还是会有攻破-解决-再攻破-再解决的过程,只是因为碎片化和开放性这些安全问题被放大的可能性增大了,但其中攻防原理其实跟我们当年等待 iOS 破解是一样的道理,攻防本身与用户无关,这似乎就是一场黑白客之间的博弈,而作为用户还能做些什么呢?

 

题图来自:海洛创意 插图来自:wooyun

后评论

评论在审核通过后将对所有人可见

正在加载中