继曝光网易邮箱泄露用户信息后,昨日,乌云平台再度曝出百度全系的安卓App存在一个“WormHole(虫洞)”的安全漏洞,只要安卓设备连接网络,黑客就能对设备实现远程操控,安装指定应用。同时,还可上传隐私短信和照片,弹出对话框显示广告或钓鱼链接等。
据了解,“WormHole 漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的,而此端口本来是用于广告网页、升级下载、推广App的用途。WormHole漏洞影响到了许多安卓平台上的App,其中不少用户数早已过亿,以百度应用居多。目前已知受影响的App包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等,此外,还有口袋理财、萌萌聊天等多款App。
百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo+sdk已修复”。但为了安全起见,专业人士建议,安装上述受影响应用的用户应该尽快升级或重新下载应用的最新版本,如果最新版本也没有修复漏洞,用户应尽快删除受影响的应用,以免造成不必要的损失。
