五云暴露了百度应用程序中的WormHole漏洞，包括百度地图，百度新闻，输入法等.

五云暴露了百度应用程序中的WormHole漏洞，包括百度地图，百度新闻，输入法等.

作者: 安全母牛编辑器2015年10月29日星期四

黑云漏洞平台昨天宣布，百度上的许多应用程序都包含WormHole漏洞. 对于安装了这些应用程序的Android手机，只要它们已连接到网络（无论是无线wifi还是手机流量3G / 4G），攻击者都可以远程启动任何应用程序而无需与手机联系并且无需使用DNS欺骗技术来获取用户的GPS位置/ imei /安装应用程序和其他信息，在某些情况下，攻击者甚至可以静默远程安装应用程序.

这些应用程序包括百度地图，百度浏览器，，百度翻译器，百度视频，百度移动助手，百度云，百度音乐，百度新闻，百度图片，百度输入法等. 此外，许多应用程序例如作为掌上金融公司百度输入法安全吗，萌萌也受此影响. 这些应用程序非常受欢迎，至少下载和安装了1亿个. 如果恶意黑客掌握了攻击方法，那么危害就很大.

安全母牛的编辑联系了一位了解内幕的高级白帽技术人员. 他说，此漏洞实际上是APP的正常服务功能百度输入法安全吗，但它只是忽略了验证机制. 只要攻击者扫描可以在任何wifi或手机流量冲浪区域中提供服务的特定端口，就可以发起攻击.

技术人员还指出，此漏洞的原因是非常低级的，也就是说，它没有严格遵守行业已实施多年的安全开发周期（SDL），开发人员使用了具有安全问题的软件开发套件（SDK）. ），这个漏洞不是技术问题，而是管理和意识问题.

黑云平台显示该漏洞已于10月21日提交. 目前，百度表示“此漏洞已知，并且已修复mo + sdk”.

建议安装上述APP的用户应尽快更新到最新版本，以免造身伤害.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-253505-1.html