TA的每日心情 | 开心
2017-12-4 14:22 |
|---|
签到天数: 331 天 [LV.8]以坛为家I
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
10月29日讯,苹果之前一直自豪iOS 的安全问题,但是业内XcodeGhost 漏洞事件打碎了神话,漏洞事件结束不久,Android 紧接着就迎来了一次安全危机。这次,大家要更新百度全家桶了。
+ l/ R9 p6 l/ X3 A3 g, h9 I; h日前爆料多起安全事件的乌云平台发布报告称,已有白帽子发现多款 Android 应用存在 WormHole 漏洞,黑客可以利用这个漏洞攻击任何存在漏洞的联网手机,执行恶意代码就可以直接操控你手中的手机。
+ a' A! g3 p2 {' ?7 V r3 q
7 u' ]4 s6 m X; a! r. d
WormHole 漏洞是什么?- A# J0 r) w+ T6 e
这个漏洞的发现者实际身份是阿里研究院的一名工程师,当然它的另一个身份就是这次事件中的白帽子,他先是发现了百度旗下多款应用存在 WormHole 漏洞。
! N" i0 G) h2 M" l% ~" {1 _, H不管你是 Android 的哪个系统平台(包括 Android M),他都可以直接通过这个漏洞攻击任何联网的 Android 手机,无论手机是否 root,它都可以让存在漏洞的手机弹出消息,弹出另一个应用,上传手机内数据,或者打开任意一个植入木马或者病毒的网页链接。7 r7 P% k6 N+ c
哪些 app 中招了呢?
1 R, ~* l- {: H, f! e" f8 F8 y8 {2 V据不完全统计,目前网络上的信息都指向了百度的多款应用,这些应用是:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等,当然还有一些第三方的应用像口袋理财或者萌萌聊天等。6 z4 X! v% \8 k: l7 W; S( B; V" S+ h
一些媒体咨询了相关的安全专家:“WormHole 漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广 app 的用途。
4 l7 V, |* n* j' d! l懂了吧,百度的广告端口存在漏洞,但是如果没漏洞这个权限是做啥用的呢?换个说法,官方/非官方也可以用这个后门来做一些羞羞的事情……' i9 d+ ^( v' b& g7 P1 S, R
中招了,解救办法是什么?$ Y# j# b0 r# U- J- N
目前乌云爆料的漏洞已得到百度官方的确认并已进行修复,百度方面表示目前升级到最新的软件即可解决这个问题。/ b9 w! f% G( A( }! |- ^% N4 O/ e3 y
实际上,在最近的乌云漏洞平台报告中,百度虽然被影响的 app 涉及用户数过亿,不过目前看来还没造成过大影响。
$ b' k+ s( \; r互联网时代,安全问题已经屡次被厂商提及,前段时间 163 网易邮箱的用户密码泄露事件,这个安全问题已因邮箱在互联生活中的特殊地位带来了极大的影响,黑客可以通过邮箱窃取绑定的其他平台账号,例如锁定你的手机,重置你其他平台的密码等。
9 r! G. P# s+ ?! m# f4 G, d5 ?, T
: F2 o0 O* |) W |
|
发表于 2015-10-29 19:27:48
