App高危漏洞 Android用戶記得更新百度全家桶

本文來自愛范兒

iOS 的 XcodeGhost 漏洞事件才結束不久，Android 緊接就迎來了一次安全危機。

烏雲平台發布報告稱，已經有白帽子發現了多款 Android 應用存在 WormHole 漏洞，黑客可以利用這個漏洞攻擊任何存在漏洞的聯網手機，執行惡意代碼就可以直接操控你手中的手機。

這個漏洞的發現者實際身份是阿里研究院的一名工程師，當然它的另一個身份就是這次事件中的白帽子，他先是發現了百度旗下多款應用存在 WormHole 漏洞。

不管你是 Android 的哪個系統平台(包括 Android M)，他都可以直接通過這個漏洞攻擊任何聯網的 Android 手機，無論手機是否 root，它都可以讓存在漏洞的手機彈出消息，彈出另一個應用，上傳手機內數據，或者打開任意一個植入木馬或者病毒的網頁連結。

那麼到底是哪些 app 中招了？

據不完全統計，目前網絡上的信息都指向了百度的多款應用，這些應用是：百度地圖、百度瀏覽器、百度貼吧、百度翻譯、百度視頻、百度手機助手、百度雲、百度音樂、百度新聞、百度圖片、百度輸入法等，當然還有一些第三方的應用像口袋理財或者萌萌聊天等。

一些媒體諮詢了相關的安全專家：“WormHole 漏洞”其實是基於百度的廣告連接埠存在身份驗證和權限控制缺陷而生的。而此連接埠本來是用於廣告網頁、升級下載、推廣 app 的用途。

所以我中招了，解救辦法是什麼？

目前烏雲的這些漏洞已經得到了百度官方的確認，並已進行修復，百度方面表示目前升級到最新的軟件即可解決這個問題。

相關的安全專家則建議，軟件應該升級到官方的最新版本，如果這些軟件還沒有進行封堵漏洞的更新，用戶應該卸載有漏洞的 app。

實際上，在最近的烏雲漏洞平台報告中，烏雲也指出了華為手機方面存在的 WormHole 漏洞，而且百度的相關漏洞也是在 10 月 20 號左右提交的，雖然被影響的 app 涉及用戶數過億，不過目前看來還沒造成過大影響。

互聯網時代，安全問題已經屢次被廠商提及，前段時間 163 網易郵箱的用戶密碼泄露事件，這個安全問題已因郵箱在互聯生活中的特殊地位帶來了極大的影響，黑客可以通過郵箱竊取綁定的其他平台賬號，例如鎖定你的手機，重置你其他平台的密碼等。

我們所存在的互聯空間中，終端與終端的互聯也變的簡單，這些連接也打破了傳統安全基礎設備那堵牆。360 總裁齊向東曾將移動互聯網時代的安全問題比作矛與盾，即簡單的攻防原理。

所以即使特別在意頻發的漏洞問題，仍然還是會有攻破-解決-再攻破-再解決的過程，只是因為碎片化和開放性這些安全問題被放大的可能性增大了，但其 中攻防原理其實跟我們當年等待 iOS 破解是一樣的道理，攻防本身與用戶無關，這似乎就是一場黑白客之間的博弈，而作為用戶還能做些什麼呢？