青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 携程与去哪儿合并 百度成中国最大在线旅游提供商拨开大数据的迷雾 »

安卓出现高危漏洞WormHole漏洞

  最新消息,乌云网发布了一个名为WormHole的漏洞,该漏洞影响Android上数个用户量过亿的app,无需接触手机,只要连接了网络,无论root与否都有被安装应用和远程控制的风险,而在乌云漏洞平台上,百度方面已确认该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。该漏洞细节将会在漏洞修复后在乌云主站对外公布。

  专业人士称,安装上述受影响应用的用户应该尽快升级应用到最新版本,如果最新版本也没有修复漏洞,用户应尽快删除受影响的应用。

  WormHole漏洞的危害和风险有多大呢?风险如下:

  1.无论是 wifi 无线网络或者3G/4G 蜂窝网络,只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机,无需使用DNS欺骗。

  2.此漏洞只与app有关,不受系统版本影响,在Google最新的android 6.0上均测试成功。

  3.漏洞可以达到如下攻击效果:

  - 远程静默安装应用

  - 远程启动任意应用

  - 远程打开任意网页

  - 远程静默添加联系人

  - 远程获取用用户的GPS地理位置信息/获取imei信息/安装应用信息

  - 远程发送任意intent广播

  - 远程读取写入文件等。

  据乌云匿名员工透露,除了已经确认的百度系全家桶应用之外,使用了百度提供的软件开发工具包(SDK)的应用也有许多集体中招,比如途牛旅游、万达电影等等。另外,百度系的 91、hao123 等业务旗下的应用也都有上榜。目前我们得到的名单如下:

安卓出现高危漏洞WormHole漏洞

  更新:针对乌云漏洞平台今日曝出百度旗下多款App存在WormHole漏洞,百度官方回应,称已经发现并确认了该漏洞,目前产品团队紧急修复了该漏洞。

  百度回应称:“感谢乌云等安全社区的支持,我们此前已经发现并确认了该漏洞。目前产品团队紧急修复了该漏洞,并通过了严格的质检测试,正在更新所有受影响产品。”

  今日,乌云漏洞平台截获了一个名为wormhole的安卓系统漏洞,该漏洞可能影响过亿安卓手机用户。手机用户只要连接了网络,黑客不需接触手机,且手机无论是否root都有被远程控制,安装指定应用。

  据了解,“WormHole漏洞”影响的APP中中以百度为甚,受影响APP包括:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。

  安全人士介绍称,“WormHole漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广App的用途。黑客拿下这个端口的权限,便可以获得手机近乎全部的控制权。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/4400.html
  • 文章排行:
  • 1.kidmysoul
  • 据日本网上的报道说这个其实是百度自己安的后门。。。
  • 2015/11/9 14:57:39   支持(9)反对(1) 回复
  • 3.席萁草
  • 不用担心,百度本身就够流氓了。
  • 2015/10/28 12:02:25   支持(4)反对(1) 回复
  • 4.阳光刺眼阿游
  • 唉,百度输入法就是用习惯了
  • 2015/10/27 23:45:10   支持(3)反对(1) 回复
  • 5.外装内修
  • 我对百度的技术,尤其是品德是十分信任的,app从来不用
  • 2015/10/28 13:14:00   支持(3)反对(1) 回复
  • 6.蔡航平蔡航平
  • 百度好厉害,全军覆没的节奏呀...
  • 2015/10/28 14:08:03   支持(3)反对(1) 回复
  • 7.哦恩呵呵地盘
  • 百度一下,你就中招,哈哈
  • 2015/10/28 23:46:11   支持(3)反对(1) 回复
  • 8.浮舟
  • 文章啰嗦半天,不说漏洞影响了哪些“热门”应用。
  • 2015/10/27 15:05:18   支持(3)反对(2) 回复
  • 9.吴英的哥哥
  • 恐怕不是漏洞,百度自己就想搞这事。
  • 2015/10/28 11:42:24   支持(2)反对(1) 回复
  • 10.404NicolasNotFound
  • 并不用百度,坚持翻墙用谷歌
  • 2015/10/28 11:55:54   支持(2)反对(1) 回复
  • 11.MarvinGPP
  • bingo, 我没中枪,一个都没装
  • 2015/10/28 12:07:55   支持(2)反对(1) 回复
  • 12.用户名不存在无法显示
  • 已卸载所有百度系应用。
  • 2015/10/28 12:07:55   支持(1)反对(0) 回复
  • 13.gar成玩切糕
  • 百度的app应该是给自己留了个后门,结果成为了漏洞
  • 2015/10/28 12:18:56   支持(2)反对(1) 回复
  • 14.新宿豪雨
  • 药丸啊。幸好我已经基本上抛弃他们全家了,目前还在用的只有搜索,贴吧,网盘,都只用网页端
  • 2015/10/28 12:53:28   支持(2)反对(1) 回复
  • 15.爸爸差点中了你的诡计
  • 百度输入法都中招?安卓真累……不root都能中招
  • 2015/10/28 13:11:29   支持(2)反对(1) 回复
  • 17.网蛙君
  • 百度豪华全家桶现已上市。
  • 2015/10/28 13:50:32   支持(1)反对(0) 回复
  • 18.爱传app梦工厂
  • 真的是百度全家桶!
  • 2015/10/28 13:57:32   支持(2)反对(1) 回复
  • 19.电商报
  • 警惕!无论root与否都有被安装应用和远程控制的风险!百度全家桶上榜!
  • 2015/10/28 14:00:03   支持(2)反对(1) 回复
  • 20.傲娇的淋漓尽致
  • 这是什么鬼,百度留的后门吗?
  • 2015/10/28 14:09:33   支持(2)反对(1) 回复
  • 21.可爱流连忘返
  • 百度这是作死的节奏呀...
  • 2015/10/28 14:12:03   支持(2)反对(1) 回复
  • 22.时尚流受ru
  • 不明觉厉,百度略屌略屌,哈哈!!!
  • 2015/10/28 23:41:11   支持(2)反对(1) 回复
  • 23.萝莉控逆倒尘光
  • 要悲剧,我手机上好多百度的产品,要我卸载的节奏吗
  • 2015/10/28 23:45:11   支持(2)反对(1) 回复
  • 24.新的一天我依然爱着你
  • 呵呵呵呵,不愧百毒。
  • 2015/10/28 23:51:11   支持(2)反对(1) 回复
  • 25.互联网的一些事
  • #wormhole漏洞# 警惕!无论root与否都有被安装应用和远程控制的风险!百度全家桶上榜!
  • 2015/10/28 23:52:42   支持(2)反对(1) 回复
  • 26.IT程序猿
  • #wormhole漏洞# 百度全家桶上榜!
  • 2015/10/28 23:58:42   支持(2)反对(1) 回复
  • 27.渔翁无钩
  • 吓得我马上把全部的app都卸载了。
  • 2015/10/29 8:07:43   支持(1)反对(0) 回复
  • 29.夜猫控1028
  • 百度你是疯了咩?留这种后门?
  • 2015/10/29 8:20:14   支持(2)反对(1) 回复
  • 30.cz
  • 不是吧,这么不安全,是不是这乱安装垃圾应用app就可以避免?
  • 2015/10/27 14:31:39   支持(1)反对(1) 回复
  • 31.刘文海Calvin_Lou居然
  • 百度百度百度百度百度百度百度
  • 2015/10/27 23:39:30   支持(1)反对(1) 回复
  • 32.Zodzod_张浩
  • 直接说"全家桶"就行了。。。此处删除200字
  • 2015/10/27 23:39:40   支持(1)反对(1) 回复
  • 34.人闲鹤野
  • 百毒贴吧确实遇到自动安装APP的
  • 2015/10/27 23:43:40   支持(1)反对(1) 回复
  • 36.太龌龊的名字不让起怎么办
  • 百度全家桶有毒!!!
  • 2015/10/28 11:44:24   支持(1)反对(1) 回复
  • 38.孟庆钟
  • 前几天网易,现在轮到百度了?
  • 2015/10/28 11:49:54   支持(1)反对(1) 回复
  • 39.agice
  • 用 android 的人还在乎安全????
  • 2015/10/28 11:53:54   支持(1)反对(1) 回复
  • 42.ice900519
  • 吓得我赶紧吧把百度云卸了
  • 2015/10/28 12:10:55   支持(1)反对(1) 回复
  • 44.草根V-III
  • 这明明就是百度的asshole啊
  • 2015/10/28 12:14:26   支持(1)反对(1) 回复
  • 46.最最和谐
  • 总的来说,还是苹果安全
  • 2015/10/28 12:22:56   支持(1)反对(1) 回复
  • 48.letsgosomewhere
  • 什么意思是:无需接触手机?这语句确定通顺?
  • 2015/10/28 12:27:56   支持(1)反对(1) 回复
  • 52.冉清文kevin
  • 百毒,看来是后门别找到了哦
  • 2015/10/28 12:41:27   支持(1)反对(1) 回复
  • 53.Lulu_Prototype
  • 百度简直233。一个没有
  • 2015/10/28 12:44:58   支持(1)反对(1) 回复
  • 54.图图眼白
  • 贴吧,地图中枪了。。。
  • 2015/10/28 12:47:58   支持(1)反对(1) 回复
  • 55.edison0354
  • 这不叫漏洞,这叫后门……
  • 2015/10/28 12:49:28   支持(1)反对(1) 回复
  • 59.Deerstalker221B
  • 一句话「百度/Baidu」。
  • 2015/10/28 13:06:59   支持(1)反对(1) 回复
  • 60.睡月催脱
  • 可以理解为百度留后门儿了吗?
  • 2015/10/28 13:09:29   支持(1)反对(1) 回复
  • 61.炎之夏
  • 百度特别讨厌,各种垃圾弹窗,快倒闭吧不送
  • 2015/10/28 13:17:00   支持(1)反对(1) 回复
  • 62.南方的星空下
  • 百度应该多招些白帽。
  • 2015/10/28 13:21:30   支持(1)反对(1) 回复
  • 63.Xepro
  • 从来不在手机上装百度的任何产品
  • 2015/10/28 13:25:00   支持(2)反对(2) 回复
  • 64.网民LHX
  • 我对百度的技术,尤其是品德是十分信任的
  • 2015/10/28 13:28:30   支持(1)反对(1) 回复
  • 68.德拉诺法师
  • 百度豪华全家桶现已上市。
  • 2015/10/28 13:45:02   支持(1)反对(1) 回复
  • 70.永不停息的恐龙哥
  • 百度全家桶要搞个大新闻?
  • 2015/10/28 13:53:02   支持(3)反对(3) 回复
  • 72.数据挖掘与数据分析
  • 百度全系产品中招!
  • 2015/10/28 14:00:03   支持(1)反对(1) 回复
  • 73.电商报
  • 警惕!无论root与否都有被安装应用和远程控制的风险! 百度全家桶上榜!
  • 2015/10/28 14:03:03   支持(1)反对(1) 回复
  • 74.女汉子从未拥友
  • 目测百度要火的节奏,留名
  • 2015/10/28 14:06:03   支持(1)反对(1) 回复
  • 75.戴上围脖才暖和
  • 百度全家桶已加入豪华午餐。
  • 2015/10/28 23:49:41   支持(1)反对(1) 回复
  • 76.捧着眼泪爱笑爱生活
  • 吓得我赶紧卸载了百度地图
  • 2015/10/28 23:55:12   支持(2)反对(2) 回复
  • 77.爱笑的倾城ur
  • 以后贴吧只能在电脑端登陆了
  • 2015/10/28 23:59:12   支持(1)反对(1) 回复
  • 78.豪放的情人已久
  • 安卓党躺着中枪,输入法和地图要换了
  • 2015/10/29 8:03:13   支持(1)反对(1) 回复
  • 80.西电卡卡
  • 这明显在黑百度。。。是不是百度账号的漏洞?
  • 2015/10/29 8:11:13   支持(1)反对(1) 回复
  • 81.黑暗之光_
  • 艹,和百度沾边的基本都中枪💣💣💣
  • 2015/10/29 8:17:44   支持(1)反对(1) 回复
  • 82.偶遇-知音
  • 百度国内第一大流氓企业
  • 2015/10/29 8:21:44   支持(2)反对(2) 回复
  • 83.米家吃吃吃
  • 百度系从来不会出现在我的地盘
  • 2015/10/29 8:24:44   支持(1)反对(1) 回复
  • 84.byc
  • 请问博主,乌云最新提交的feed是不是已经失效了?
  • 2015/11/3 9:08:53   支持(1)反对(1) 回复
  • 85.绿衣小丑
  • 华为输入法是百度输入法的改编版本,好像只改了名字而已,所以也应该受影响了
  • 2015/10/28 12:17:26   支持(1)反对(2) 回复
  • 86.背着方天画戟写代码
  • WP党默默的看着你们IOS和安卓轮流被爆。
  • 2015/10/28 12:29:57   支持(0)反对(1) 回复
  • 89.爱生活爱老白
  • 百度全家桶教你做人
  • 2015/10/28 12:55:58   支持(0)反对(1) 回复
  • 90.AUST-刘同镇
  • 上个月每次用小a扫描,都报了百度云,也就没用了。。
  • 2015/10/28 12:56:28   支持(1)反对(2) 回复
  • 91.mamsds
  • 一个没有root的手机,如何静默安装应用啊?…
  • 2015/10/28 13:06:59   支持(1)反对(2) 回复
  • 92.Dennis言身寸芒
  • google和百度都是一个鸟样,专心致志做好你们的搜索吧
  • 2015/10/28 13:19:00   支持(1)反对(2) 回复
  • 94.Frogatto
  • 这个病毒的中文名是不是可以翻译为‘虫洞’?
  • 2015/10/28 13:34:31   支持(1)反对(2) 回复
  • 98.我丶微笑的青Chun
  • 我的百度云怎么办...
  • 2015/10/29 8:15:14   支持(0)反对(1) 回复
  • 99.静姝她爹
  • 还好这二十个各种我一个没有
  • 2015/10/28 12:33:27   支持(0)反对(2) 回复
  • 100.shaw逍
  • 百度全家桶啊。。不用百度是正确的。。。
  • 2015/10/28 12:35:27   支持(1)反对(3) 回复
  • 101.六月离歌的名单
  • 啥意思?意思是百度被打脸了吗??
  • 2015/10/28 23:43:11   支持(1)反对(3) 回复
  • 102.没读过书的陈二
  • 全家桶也被人捅了。哈哈哈啊。喜大普奔
  • 2015/10/28 13:37:31   支持(0)反对(3) 回复
  • 103.heimieheimie
  • 百度云和漫画岛但是都是很久之前的版本了,有关系吗?
  • 2015/10/28 11:52:54   支持(1)反对(8) 回复
  • 104.Slin森哥___
  • 请告诉我,难道要我用wp吗?
  • 2015/10/29 8:04:43   支持(1)反对(8) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.