2012吧 关注:1,626,775贴子:87,755,156
  • 0回复贴,共1

百度被曝高危漏洞,全系移动产品存安全隐患

取消只看楼主收藏回复

今年对国内互联网安全领域来说,注定是个多事之秋。备受信息泄露威胁折磨的用户,近期又迎来一个重磅消息:百度在安卓平台上的全系应用被曝出有重大后门漏洞,安装了百度应用的用户只要手机联网(无论是wifi还是2G、3G、4G),就会存在个人隐私泄露和财产损失的风险。
早在10月14日,国内最大的漏洞报告平台——乌云(WooYun)上就已经有人报告了一个百度系应用的高危漏洞:
随后,乌云官方也确认并在微博上对此漏洞有简短的描述和打码视频披露,虽然没有透露太多信息,但不难发现这与之前乌云上的报告的百度漏洞是同一个,此漏洞已被原始发现者命名为“wormhole”,虫洞漏洞。
10月26号,一段针对这一漏洞的入侵手机演示视频出现在网上。
视频中显示,通过百度系的App,黑客在不接触用户手机的情况下,就可以对手机实现远程操控,包括安装指定应用、启动任意程序、上传隐私短信和照片、弹对话框显示广告或者钓鱼链接等等。
某安全业内人士爆料,包括手机百度、百度地图、百度贴吧、百度手机助手、爱奇艺等热门应用在内的百度全系产品均有这一漏洞,甚至很多手机预装的百度应用也是一样,受到影响的用户数以亿计。
由于漏洞发现者并没有披露技术细节,有关这个漏洞的真面目,目前存在很多猜测。
有人爆料,这个接口漏洞并不属于常规的技术漏洞,而是被百度命名为“ImmortalService”,意译为“不朽的服务”,并提供了代码截图。该技术人员怀疑:这是百度在设计产品时预先留出的后门接口。但有关该接口是否真的是后门,尚不能确认。
近年来不少安卓用户都曾经出现过这样的情况:手机中莫名其妙就被安装了自己并不知道的软件,在打开手机网页或者使用APP软件的过程中也会经常弹出大量广告。百度App也存在这样的现象,前述爆料人宣称,此次被利用的后门漏洞正是用于静默安装的“灰色”接口。
爆料人表示,此次被利用的接口还有一个严重的漏洞,任何人都可以利用这个漏洞来远程操控手机行为。也就是说只要你的手机装了百度的任一款应用并联网了,黑客就可以远程控制你的手机。
也许用一个故事可以让你更好的理解:你家请了一个叫百度的仆人,但是这个仆人忘了给后门上锁,现在任何人包括外面的贼都可以从这个后门进你家偷东西和控制你家。
针对潜在的危险,安全人员对普通用户提出了建议:
百度产品线丰富,修补漏洞需要一定的时间,安全专家提示,一旦厂商发布修复版本,请立刻更新。在百度官方确认已修复了全部的产品问题之前,在后台禁止相关App运行,并且暂时选择替代App。


IP属地:江苏来自Android客户端1楼2015-10-28 23:34回复