据中国之声《新闻晚顶峰》报道,智能手机如今是越来越普遍了,人们也会在手机上安装各种各样的应用软件,来满足自己的移动需求。不过,在给人们提供方便的同时,手机应用软件带来的风险也不容忽视。前不久,苹果就忽然下架了上百款应用,原因是这些应用会收集用户的隐私信息。
一波未平,一波又起。近日,乌云网发布一则漏洞信息称,包括百度地图、百度浏览器等在内的多款百度旗下手机应用软件存在安全漏洞。如果用户的手机中安装有这些存在漏洞的应用软件,手机在连接网络后就有被远程控制的风险。
乌云网曝光的这个漏洞名为WormHole,目前已知受到该漏洞影响的手机应用软件,除了百度旗下的百度地图,百度音乐以及百度新闻等,还包括足球巨星、漫画岛、口袋理财等知名软件。360安全专家安扬介绍说,该漏洞是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。
安扬介绍道,从目前披露的情况看,手机APP开放了一个端口。通俗地说,手机成为了一个任何人都可以访问的网站。
安扬表示,攻击者拿下这个端口的权限,便可以获得手机近乎全部的控制权。攻击者事先无需接触手机,就可以达到远程安装和启动应用、获取用户地理位置信息等目的。而且,这个漏洞只与手机的应用软件有关,不受手机本身系统版本的影响。
安扬介绍称,连接了这个端口,可能就是让你打开任意网页,然后从你手机上下载任意文件。另外,攻击者可以在用户毫不知情的情况下,在用户的手机中任意添加联系人。这些都是外界已经披露出来的。
百度安全应急响应中心昨天傍晚发布说明称,已经发现并确认了该漏洞。目前产品团队已经紧急修复了该漏洞,并通过了严格的质检测试,正在全面更新所有受漏洞影响的产品。
安扬介绍说,乌云网上曝光漏洞,只是证实了漏洞存在,并不意味着安装有这些应用软件的手机已经受到攻击。因为攻击者通过漏洞获得相应权限,还需要具备一定条件。
安扬表示,别人要想访问你的手机,必须在同一个局域网里。另外,如果手机app没有使用,端口也不会打开。你的手机怎么上网,他也攻击不了你的手机。
根据安扬的解释,如果想获得对方手机的相应权限,攻击者必须与攻击对象在同一个wifi热点下或者是使用同一家运营商的3G或4G网络,并且这些存在漏洞的应用软件还必须是处于运行状态。不过,安扬表示,由于很多软件被关闭后仍会在后台驻留,甚至开机后自动启动。因此,安装这些软件的手机理论上都存在被攻击的风险。
从百度发布的说明看,百度已经知道如何修复该漏洞。不过,因为百度地图、百度浏览器等产品都拥有过亿用户,所以本次漏洞的影响面比较大。那么,对于上亿的手机用户来说,到底该如何防备该漏洞带来的风险呢?
为了保险起见,安扬建议,用户应该尽快把应用软件升级到最新版本。必须把修复好的App公告给用户,或者用他们自己的手段,比如通过App的自动升级,或用户把修复好漏洞的App重新安装。
针对手机应用软件带来的风险,安扬表示,手机用户在安装应用软件时除了要到正规的网站和应用市场进行下载外,还可以通过安装辅助的软件来降低风险。
安扬指出,从用户的角度,可以安装手机安全软件,减少漏洞攻击。把这些App自动保持在比较新的版本,然后通过一些辅助软件,将后台运行的程序优化清理掉,把风险降到最低。
未经允许不得转载:陈丹的博客 » 百度多款App被曝存漏洞可被远程操控 确认已紧急修复