BAT这样的大公司,产品真的安全吗?
近日,以专业披露安全漏洞而知名的漏洞平台乌云曝出百度全系APP存在史上最大WormHole虫洞漏洞。利用该漏洞,安卓手机只要连接了网络,无论root与否都有被安装应用和远程控制的风险。
目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
据悉,已公布的受此漏洞影响的APP名单包括:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。除此之外,还有口袋理财、萌萌聊天等多款App,其中不少APP都是用户量过亿的APP。
随后由乌云传出的一份漏洞具体介绍文章称,此次披露的百度WormHole漏洞比葫芦娃还可怕,是一个非常严重的socket远程攻击漏洞,并且影响多个用户量过亿的APP。其中,手机百度、百度手机助手、百度地图等百度系APP有着上亿的下载安装量和加起来超过三亿的活跃用户。无论是 wifi 无线网络或者3G/4G 蜂窝网络,只要是手机在联网状态都有可能受到攻击。
攻击者事先无需接触手机,无需使用DNS欺骗。漏洞可以达到如下攻击效果:远程静默安装应用、远程启动任意应用、远程打开任意网页、远程静默添加联系人、远程获取用用户的GPS地理位置信息/获取imei信息/安装应用信息、远程发送任意intent广播、远程读取写入文件等。
据分析,如果有黑客利用WormHole漏洞,侵入之后,只要通过4G手机再开个热点,就可以用电脑连接热点然后用扫描器和攻击脚本对全国甚至全世界连接了3G/4G的手机进行攻击,在家远程入侵一亿台手机不再是梦。因此该漏洞所造成的影响特别重大。
专家建议,用户应尽快升级已修补的APP,如APP无修补更新,建议立即全面卸载。