安卓全系APP存漏洞百度称已修复 阿里工程师“补刀”

提交的乌云漏洞概要

前瞻科技快讯10月28日消息，继曝光网易邮箱泄露用户信息后，今日，乌云平台再曝安全漏洞，不过这次被点名的是百度。

据乌云报告，百度全系安卓APP存在一个“wormhole(虫洞)”的安全漏洞，只要安卓设备连接网络，无论是否root，黑客都能对设备实现远程操控，安装指定应用，同时，还可上传隐私短信和照片，弹出对话框显示广告或钓鱼链接等。

据乌云报告，“WormHole漏洞”影响许多安卓平台用户量过亿的APP，其中以百度为甚，受影响APP包括：百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。专业人士建议，安装上述受影响应用的用户应该尽快升级应用到最新版本，如果最新版本也没有修复漏洞，用户应尽快删除受影响的应用。

据了解，“WormHole漏洞”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广App的用途。黑客拿下这个端口的权限，便可以获得手机近乎全部的控制权。

值得一提的是，“WormHole漏洞”命名来自阿里研究院工程师，其另一重身份是白帽子，其以“瘦蛟舞”和“蒸米spark”的ID在微博发布消息，称“发现了一个漏洞，会影响Android上数个用户过亿的App”，并且给这个漏洞命名为“wormhole(虫洞)”贴出了演示视频。

目前，百度已对旗下多款App存在WormHole漏洞一事进行回应，表示，“此漏洞已知晓且mo + sdk已修复”。也就是说，担心手机被远程控制或隐私泄露的用户不用着急删除百度APP了，对了，受影响的还包括口袋理财、萌萌聊天等多款App。但为了安全起见，前瞻小编建议大家还是听从专家的建议，删除受影响应用重新下载最新版本。