趋势网(微博|微信)讯:iOS 的 XcodeGhost 漏洞事件才结束不久,Android 紧接着就迎来了一次安全危机。
百度全系APP惊爆后门漏洞,数亿安卓手机成定时炸弹
10月27日,知名科技博主“月光博客”在微博上发布了一个安卓平台高危漏洞的信息,并列出了受影响的APP名单。因为漏洞带来的后果极其严重恶劣,消息一经发布就在网络上被迅速疯传,吸引了大量业界人士和普通民众的关注。
市监所回应一份白粥200元 浙大通报家庭困难学生晒旅游照 普京签署法律:赴乌参战免债 吴柳芳为占用公共资源致歉 广电总局要求加强对霸总微短剧管理
随后,虎嗅、36氪等多个业内权威媒体也相继确认了这一漏洞,其中雷锋网还发布了一段针对此漏洞的演示视频。从视频中发现,黑客可以通过百度产品的这一后门漏洞,对用户手机进行远程控制,包括静默安装应用/添加或修改联系人、启动任意应用、上传隐私短信和照片、弹对话框显示广告或者钓鱼链接等等。
据了解,早在10月14日就有人在国内安全反馈平台乌云上报告了一个百度系应用的高危漏洞,这一漏洞已经被百度承认,并称已经通知产品线进行修复。随后乌云官方也在微博中对此漏洞有简短的描述和打码视频披露,漏洞被原始发现者命名为“wormhole”,意为虫洞漏洞。
乌云平台发布报告称,已经有白帽子发现了多款 Android 应用存在 WormHole 漏洞,黑客可以利用这个漏洞攻击任何存在漏洞的联网手机,执行恶意代码就可以直接操控你手中的手机。
这个漏洞的发现者实际身份是阿里研究院的一名工程师,当然它的另一个身份就是这次事件中的白帽子,他先是发现了百度旗下多款应用存在 WormHole 漏洞。
不管你是 Android 的哪个系统平台(包括 Android M),他都可以直接通过这个漏洞攻击任何联网的 Android 手机,无论手机是否 root,它都可以让存在漏洞的手机弹出消息,弹出另一个应用,上传手机内数据,或者打开任意一个植入木马或者病毒的网页链接。
据不完全统计,目前网络上的信息都指向了百度的多款应用,这些应用是:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度 新闻 、百度图片、百度输入法等,当然还有一些第三方的应用受到波及,因为使用了百度提供的SDK(软件开发工具包),多个热门应用如途牛旅游、万达电影等,直接影响的安卓用户量数以亿计。
一些媒体咨询了相关的安全专家:“WormHole 漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广 app 的用途。
令广大安卓用户担忧的是,这一后门还存在着严重漏洞,只要手机联网(无论是wifi还是2G/3G/4G蜂窝网络),任何黑客均可以通过这一漏洞进行攻击,攻击者事先无需接触手机,无需使用DNS欺骗,即可对用户手机实现远程操控,这让安装了百度应用的安卓手机成为了一颗随时可能爆 炸的定时炸弹。
漏洞命名“不朽的服务”,疑为百度自留后门
随着“百度全家桶”这一话题在网络上的持续热议和发酵,一个更为惊人的猜测渐渐浮出水面:这一问题并非常规性的技术漏洞,而是产品研发人员一早就留下的后门!换句话说,这个漏洞其实是百度为自己留的后门,以便通过这个后门对用户手机实现远程控制,静默安装应用以及推送广告,从而获得非法盈利。
有黑客在网上曝光了漏洞代码截图,可以发现代码被人为命名为“ImmortalService”,意译即为“不朽的服务”。如果这一消息属实,对一贯提倡“简单,可依赖”价值观的百度来说,将是一个天大的讽刺。
信息隐患日渐突出,网络安全亟待加强
随着智能手机的迅速发展和普及,一方面给大众生活带来了更多便利,而另一方面网络安全问题也越来越突出。近年来众多网络厂商不断被曝出产品漏洞问题,用户个人隐私泄露、网银财产损失等问题日渐严重,网络信息安全这一领域开始慢慢进入大众视线。
有互联网安全专业人士提出,要打造一个安全放心的网络环境,需在立法层面建立更加细化、严格的行业管理标准,地方和相关部门应根据网络安全法制定符合各地实际的网络安全等级法规,将网络信息安全管理的相关条例精细化并予以落实。
目前乌云的这些漏洞已经得到了百度官方的确认,并已进行修复,百度方面表示目前升级到最新的软件即可解决这个问题。
但据业内人士透露,百度产品线丰富,同时wormhole是客户端漏洞,再加上海量的百度预装应用,要想要完全消除wormhole后门漏洞的隐患,百度必须修复并让所有用户更新全系的应用,保守估计需要数周的时间。
在此期间,用户的隐私和财产随时都面临风险。该业内人士建议,一旦厂商发布修复版本,请立刻更新。在百度官方确认已修复了全部的产品问题之前,在后台禁止相关App运行,并且暂时选择替代App。
实际上,在最近的乌云漏洞平台报告中,乌云也指出了华为手机方面存在的 WormHole 漏洞,而且百度的相关漏洞也是在 10 月 20 号左右提交的,虽然被影响的 app 涉及用户数过亿,不过目前看来还没造成过大影响。
互联网时代,安全问题已经屡次被厂商提及,前段时间 163 网易邮箱的用户密码泄露事件,这个安全问题已因邮箱在互联生活中的特殊地位带来了极大的影响,黑客可以通过邮箱窃取绑定的其他平台账号,例如锁定你的手机,重置你其他平台的密码等。
我们所存在的互联空间中,终端与终端的互联也变的简单,这些连接也打破了传统安全基础设备那堵墙。360 总裁齐向东曾将移动互联网时代的安全问题比作矛与盾,即简单的攻防原理。
所以即使特别在意频发的漏洞问题,仍然还是会有攻破-解决-再攻破-再解决的过程,只是因为碎片化和开放性这些安全问题被放大的可能性增大了,但其中攻防原理其实跟我们当年等待 iOS 破解是一样的道理,攻防本身与用户无关,这似乎就是一场黑白客之间的博弈,而作为用户还能做些什么呢?