ken60074 2015-10-29 21:01
百度遭爆旗下Android程式含有遠端攻擊嚴重漏洞「蟲洞」,華為亦遭波及[1P]
FreeBuf引用資安專家的推測指出,該漏洞可能源自於百度廣告接口的身份驗證與權限控制缺陷。
[url=http://s267.photobucket.com/user/ken60074/media/baidu_zpsdfucuf6p.jpg.html][img=524,229]http://i267.photobucket.com/albums/ii308/ken60074/baidu_zpsdfucuf6p.jpg[/img][/url]
中國漏洞揭露平台烏雲網在上週揭露,百度的行動程式含有名為「蟲洞」(WormHole)的安全漏洞,可允許駭客自遠端執行任意程式,百度則在本週三(10/28)證實此事,並宣稱正在全面更新所有受漏洞影響的產品。外界則估計約有20款百度行動程式受到該漏洞的影響。另外,華為手機也被發現含有相同的漏洞。
雖然烏雲網並未公佈漏洞細節,但IT部落格「月光博客」則說,該漏洞與行動程式有關,不受系統版本影響,駭客經由該漏洞可透過網路遠端安裝應用、遠端執行應用、遠端開啟網頁、遠端增添聯絡人、遠端取得裝置的GPS/IMEI/所安裝應用程式等訊息。
安全訊息分享平台FreeBuf引用資安專家的推測指出,該漏洞可能源自於百度廣告接口的身份驗證與權限控制缺陷。FreeBuf還整理了20款受到該漏洞影響的百度程式,涵蓋百度地圖、瀏覽器、貼吧、翻譯、視訊、手機助手,以及百度雲等。
百度並未公佈含有WormHole漏洞的程式數量,僅說感謝烏雲等安全社區的大力支持,百度已發現並確認了該漏洞,產品團隊已緊急修復該漏洞,並通過嚴格的質檢測試,正在全面更新所有受漏洞影響的產品。
在百度宣佈已展開修補後,FreeBuf又發現尚有8款百度程式還沒更新,並建議用戶可暫時移除相關程式,包含百度視頻、百度音樂、百度圖片、百度桌面、足球巨星、全民探索、奇聞異錄與蛋蛋理財等。
此外,根據烏雲的漏洞揭露訊息,WormHole漏洞不僅影響百度,也影響了華為,但在漏洞描述中僅說該漏洞將讓華為手機可自遠端安裝惡意程式,並已通知關廠商。但仍未揭露漏洞細節或攻擊途徑。(編譯/陳曉莉)
孙美玲 2015-10-30 10:39
看来以后手机少绑定一些有关银行证券的程序了,太杂了不安全。
q296711355 2015-10-30 15:58
我的就是华为荣耀畅玩版的手机,不会有啥事吧,支付宝账户钱安全吗
在线客服(1)