本帖最后由 顾问团光明儿 于 2015-10-30 15:04 编辑

近日,乌云平台发布了一个名为wormhole的漏洞可能影响过亿安卓用户。称攻击者无需接触手机,用户只要连接了网络,无论root与否都有被安装应用和远程控制的风险,受影响的APP列表包含了手机百度、百度地图、百度贴吧、百度云等多个用户过亿的安卓应用。

漏洞演示视频:
“WormHole 漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广 app 的用途。
以往的经验告诉我,当天曝光的漏洞,后续影响范围基本上都会扩大。这一次的 WormHole 漏洞也是一样,除了已经确认的百度系全家桶应用之外,使用了百度提供的软件开发工具包(SDK)的应用也有许多集体中招,比如途牛旅游、万达电影等等。另外,百度系的 91、hao123 等业务旗下的应用也都有上榜。后续我们得到的名单如下:

这些应用的用户数量加起来,绝对是以亿为单位来计算,而稍微让人心安的是,目前来看,还没有收到具体的危害示例报告。不过这并不代表以后也会没事,
360安全播报提醒广大用户注意,如果使用了上述的APP,请及时更新到最新的版本。
目前该漏洞还有没有公开任何细节,我们将持续跟进该漏洞的最新动态。
|
评论
直达楼层