繼曝光網(wǎng)易郵箱泄露用戶信息后，昨日，烏云平臺(tái)再曝出更驚人的安全漏洞，這次被點(diǎn)名的是巨頭百度。

　　據(jù)烏云報(bào)告，百度全系的安卓APP存在一個(gè)“WormHole (蟲洞)”的安全漏洞，只要安卓設(shè)備連接網(wǎng)絡(luò)，黑客就能對(duì)設(shè)備實(shí)現(xiàn)遠(yuǎn)程操控，安裝指定應(yīng)用。同時(shí)，還可上傳隱私短信和照片，彈出對(duì)話框顯示廣告或釣魚鏈接等。目前，百度已經(jīng)確認(rèn)了該漏洞，并在回復(fù)中稱“此漏洞已知曉且mo + sdk已修復(fù)”。

　　據(jù)了解，WormHole漏洞影響到了許多安卓平臺(tái)上的APP，其中不少用戶數(shù)早已過億，以百度應(yīng)用居多。目前已知受影響的APP包括百度地圖、百度瀏覽器、百度貼吧、百度翻譯、百度視頻、百度手機(jī)助手、百度云、百度音樂、百度新聞、百度圖片、百度輸入法等，此外，還有口袋理財(cái)、萌萌聊天等多款A(yù)PP。

　　據(jù)了解，“WormHole 漏洞”是基于百度的廣告端口存在身份驗(yàn)證和權(quán)限控制缺陷而產(chǎn)生的，而此端口本來是用于廣告網(wǎng)頁(yè)、升級(jí)下載、推廣APP的用途。黑客拿下這個(gè)端口的權(quán)限，便可以獲得手機(jī)近乎全部的控制權(quán)。

　　值得注意的是，若手機(jī)存在WormHole漏洞，無(wú)論是wifi無(wú)線網(wǎng)絡(luò)或者3G/4G 蜂窩網(wǎng)絡(luò)，只要是手機(jī)在連網(wǎng)狀態(tài)下都有可能受到攻擊。攻擊者事先無(wú)需接觸手機(jī)，無(wú)需使用DNS欺騙。此漏洞只與APP有關(guān)，不受系統(tǒng)版本影響。攻擊者可以達(dá)到遠(yuǎn)程靜默安裝應(yīng)用、遠(yuǎn)程啟動(dòng)任意應(yīng)用、遠(yuǎn)程獲取用戶的GPS地理位置信息和安裝應(yīng)用信息等目的。

　　目前，百度回應(yīng)稱已經(jīng)知曉漏洞并修復(fù)。也就是說，用戶不用著急刪除百度APP了。

　　但為了安全起見，專業(yè)人士建議，安裝上述受影響應(yīng)用的用戶應(yīng)該盡快升級(jí)或重新下載應(yīng)用的最新版本，如果最新版本也沒有修復(fù)漏洞，用戶應(yīng)盡快刪除受影響的應(yīng)用，以免造成不必要的損失。