日前,有安全研究员曝出百度旗下多款APP存在wormhole漏洞,安卓手机无论是否root,只要连接了网络便存在被远程操控的风险。
Wormhole漏洞:名副其实的虫洞
10月20日,白帽子蒸米发微博称:
@瘦蛟舞和我发现了一个漏洞,该漏洞影响Android上数个用户过亿的app,我们把它称之为wormhole漏洞。只要连接了网络,就有被远程攻击的风险。
知情人士透露,由于漏洞厂商还在修复中,因此细节无法公之于众。
据安全专家推测,“wormhole漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广APP的用途。攻击者一旦拿下这个端口的权限,便可以获得手机近乎全部的控制。
“说白了,就是APP监听了一个端口。”
“虫洞”对安卓用户有什么影响?
攻击者可以利用此漏洞进行以下操作:
·对手机实现远程操控; ·安装指定应用; ·启动任意程序; ·上传隐私信息和照片; ·弹对话框显示广告或者钓鱼链接; ·......
而且这一切都不需要攻击者接触用户手机,只需通过Wifi无线网络或者3G/4G蜂窝网络即可进行攻击。G/4G网络就是一个很大的局域网,因此用户危险系数直线增加。
漏洞影响及安全建议
根据知名科技博主月光博客“目前已知受wormhole影响APP列表”图片显示,包括百度地图、百度浏览器、百度贴吧、百度翻译、百度视频等多款热门应用中招。
FreeBuf 据此统计了截止10月28日19时许受影响APP的更新情况,并提出对应的安全建议,请广大受影响用户为了安全起见,进行处理:
注:
1、数据来自百度手机助手,鉴于此次APP多数为百度,因此官网更新或者百度应用自身为最快的途径; 2、统计中,小编没有搜索到“萌萌聊天”,便使用联想“乐商店”的数据信息进行统计。
FreeBuf 下午采访了一位业内资深安全专家,当询问到此次“虫洞”是否可能为百度后门时,对方表示“没有后门的可能。虽然看起来像”。
百度回应
目前已发现的百度系中招APP数量众多,面对这潜在的巨大危害,百度已经确认了该漏洞,并淡定回复:“此漏洞以知晓且mo + sdk已修复。”
然而,从FreeBuf 统计的数据显示,百度确实在发现漏洞之后进行了修复,但仍存在部分应用程序未及时更新。
有消息称国内某安全团队已经开始开发“wormhole漏洞”检测工具,此次漏洞影响规模堪比上次苹果Xcode。随着漏洞细节的逐步披露必将带来更多影响,对于事件的未来发展,FreeBuf会进行持续关注。