本报讯(见习记者 温婧)昨天,一份“百度全系APP SDK漏洞——WormHole虫洞漏洞分析报告”在网上流传。文中称,“找到了一个非常严重的socket远程攻击漏洞,影响多个用户量过亿的APP。”为此,百度方面对北京青年报记者回应已经在第一时间将漏洞修复,建议用户尽快升级到最新版本;同时表示苹果用户不受影响。
北青报记者发现,该漏洞10月14日已在乌云平台上提交,标题为“百度系应用安卓版远程代码执行漏洞(百度地图/输入法为例)”。据乌云报告,百度全系安卓APP存在一个“WormHole”的安全漏洞,只要安卓设备连接网络,无论是否root,黑客都能对设备实现远程操控,安装指定应用;同时,还可上传隐私短信和照片,弹出对话框显示广告或钓鱼链接等。据乌云报告,该漏洞影响许多安卓平台用户量过亿的APP,其中便包括:百度地图、百度云、百度输入法等十多款百度系APP。
专业人士指出,“WormHole”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。此端口本来是用于广告网页、升级下载、推广APP 的用途。黑客拿下这个端口的权限,便可以获得手机近乎全部的控制权。
为此,百度方面对北青报记者回应表示,“百度安全团队在此之前已发布预警信息,并在第一时间进行了漏洞修复。目前,百度系列产品安卓版本已全部完成新版本更新上线,苹果手机产品不受影响。请用户尽快升级到最新版。感谢安全社区的帮助和大家关心。”网友对此迅速响应评论道“态度不错”、“百度速度就是快”。