中國漏洞揭露平台烏雲網在上周揭露,百度的行動程式含有名為「蟲洞」(WormHole)的安全漏洞,可允許駭客自遠端執行任意程式,百度則在本周三(10/28)證實此事,並宣稱正在全面更新所有受漏洞影響的產品。外界則估計約有20款百度行動程式受到該漏洞的影響。另外,華為手機也被發現含有相同的漏洞。

雖然烏雲網並未公布漏洞細節,但IT部落格「月光博客」則說,該漏洞與行動程式有關,不受系統版本影響,駭客經由該漏洞可透過網路遠端安裝應用、遠端執行應用、遠端開啟網頁、遠端增添聯絡人、遠端取得裝置的GPS/IMEI/所安裝應用程式等訊息。

安全訊息分享平台FreeBuf引用資安專家的推測指出,該漏洞可能源自於百度廣告接口的身分驗證與權限控制缺陷。FreeBuf還整理了20款受到該漏洞影響的百度程式,涵蓋百度地圖、瀏覽器、貼吧、翻譯、視訊、手機助手,以及百度雲等。

百度並未公布含有WormHole漏洞的程式數量,僅說感謝烏雲等安全社區的大力支持,百度已發現並確認了該漏洞,產品團隊已緊急修復該漏洞,並通過嚴格的質檢測試,正在全面更新所有受漏洞影響的產品。

在百度宣布已展開修補後,FreeBuf又發現尚有8款百度程式還沒更新,並建議用戶可暫時移除相關程式,包含百度視頻、百度音樂、百度圖片、百度桌面、足球巨星、全民探索、奇聞異錄與蛋蛋理財等。

此外,根據烏雲的漏洞揭露訊息,WormHole漏洞不僅影響百度,也影響了華為,但在漏洞描述中僅說該漏洞將讓華為手機可自遠端安裝惡意程式,並已通知關廠商。但仍未揭露漏洞細節或攻擊途徑。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容