百度app安全漏洞 波及上亿台Android装置
2015-11-03

大陆网络安全漏洞报告平台乌云网日前披露,百度公司开发的一种软件开发工具受到“虫洞”(WormHole)漏洞的影响,允许骇客自远端执行任意程式,因而形成安全问题。趋势科技公司评估说,此一漏洞影响1.4万款app(应用程式),波及上亿台Android装置。

百度公司这种名为Moplus的软件开发工具包(Software Development Kit, SDK),适用于使用Android系统的手机、平板电脑等装置。趋势科技称,这种SDK整合了超过1.4万款app,其中有大约4千款app是百度自行开发的,估计影响市场上亿台Android装置。

趋势科技分析说,Moplus当中有许多没有必要的后门功能,但其权限存取控制出了问题。这些后门功能可使他人在未经装置用户同意之下传送网络钓鱼页面、新增联络资讯、传送伪造的简讯、或自装置上传档案,也能从远端安装任何app至装置上,而且只要装置连上网络,就可能遭到他人滥用。

专家认为,此次安全问题的严重程度已经超出先前被发现的“怯场”(Stagefright)漏洞,该漏洞需要骇客向用户发送简讯,当用户打开链结后才能进行攻击。而就“虫洞”漏洞而言,骇客只要扫描网络上的IP,找到目标就能展开攻击,完全不需与用户有任何互动。

趋势科技已将此次研究结果通知百度及谷歌两家公司。而在该漏洞曝光之后,百度发布了更新版本的SDK,该公司相关人员也声称已经不存在安全问题,但趋势科技在检查后发现,百度虽然移除Moplus中可自远端安装程式的指令,却还遗留部分可遭滥用的功能。

趋势科技建议用户安装该公司的Mobile Security & Antivirus免费防毒软件,以过滤含有恶意SDK的app。
    来源: 苏漾 责编: Kitt

    上一篇: 湖南政协原副主席阳宝华受贿案被判11年

    下一篇: 农行行长张云连降三级 刘逸明:中纪委醉翁之意在更大“老虎”


    相关新闻

    一周点击排行
    过往新闻