大陆网络安全漏洞报告平台乌云网日前披露，百度公司开发的一种软件开发工具受到“虫洞”（WormHole）漏洞的影响，允许骇客自远端执行任意程式，因而形成安全问题。趋势科技公司评估说，此一漏洞影响1.4万款app（应用程式），波及上亿台Android装置。

百度公司这种名为Moplus的软件开发工具包（Software Development Kit, SDK），适用于使用Android系统的手机、平板电脑等装置。趋势科技称，这种SDK整合了超过1.4万款app，其中有大约4千款app是百度自行开发的，估计影响市场上亿台Android装置。

趋势科技分析说，Moplus当中有许多没有必要的后门功能，但其权限存取控制出了问题。这些后门功能可使他人在未经装置用户同意之下传送网络钓鱼页面、新增联络资讯、传送伪造的简讯、或自装置上传档案，也能从远端安装任何app至装置上，而且只要装置连上网络，就可能遭到他人滥用。

专家认为，此次安全问题的严重程度已经超出先前被发现的“怯场”（Stagefright）漏洞，该漏洞需要骇客向用户发送简讯，当用户打开链结后才能进行攻击。而就“虫洞”漏洞而言，骇客只要扫描网络上的IP，找到目标就能展开攻击，完全不需与用户有任何互动。

趋势科技已将此次研究结果通知百度及谷歌两家公司。而在该漏洞曝光之后，百度发布了更新版本的SDK，该公司相关人员也声称已经不存在安全问题，但趋势科技在检查后发现，百度虽然移除Moplus中可自远端安装程式的指令，却还遗留部分可遭滥用的功能。

趋势科技建议用户安装该公司的Mobile Security & Antivirus免费防毒软件，以过滤含有恶意SDK的app。