App高危漏洞 Android用户记得更新百度全家桶

简介:

iOS 的 XcodeGhost 漏洞事件才结束不久,Android 紧接着就迎来了一次安全危机。

乌云平台发布报告称,已经有白帽子发现了多款 Android 应用存在 WormHole 漏洞,黑客可以利用这个漏洞攻击任何存在漏洞的联网手机,执行恶意代码就可以直接操控你手中的手机。

wooyun
 
首先要提及的是,WormHole 漏洞是什么?

这个漏洞的发现者实际身份是阿里研究院的一名工程师,当然它的另一个身份就是这次事件中的白帽子,他先是发现了百度旗下多款应用存在 WormHole 漏洞。

不管你是 Android 的哪个系统平台(包括 Android M),他都可以直接通过这个漏洞攻击任何联网的 Android 手机,无论手机是否 root,它都可以让存在漏洞的手机弹出消息,弹出另一个应用,上传手机内数据,或者打开任意一个植入木马或者病毒的网页链接。

那么到底是哪些 app 中招了?

据不完全统计,目前网络上的信息都指向了百度的多款应用,这些应用是:百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等,当然还有一些第三方的应用像口袋理财或者萌萌聊天等。

一些媒体咨询了相关的安全专家:“WormHole 漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广 app 的用途。

所以我中招了,解救办法是什么?

目前乌云的这些漏洞已经得到了百度官方的确认,并已进行修复,百度方面表示目前升级到最新的软件即可解决这个问题。

相关的安全专家则建议,软件应该升级到官方的最新版本,如果这些软件还没有进行封堵漏洞的更新,用户应该卸载有漏洞的 app。

wooyun1

实际上,在最近的乌云漏洞平台报告中,乌云也指出了华为手机方面存在的 WormHole 漏洞,而且百度的相关漏洞也是在 10 月 20 号左右提交的,虽然被影响的 app 涉及用户数过亿,不过目前看来还没造成过大影响。

互联网时代,安全问题已经屡次被厂商提及,前段时间 163 网易邮箱的用户密码泄露事件,这个安全问题已因邮箱在互联生活中的特殊地位带来了极大的影响,黑客可以通过邮箱窃取绑定的其他平台账号,例如锁定你的手机,重置你其他平台的密码等。

我们所存在的互联空间中,终端与终端的互联也变的简单,这些连接也打破了传统安全基础设备那堵墙。360 总裁齐向东曾将移动互联网时代的安全问题比作矛与盾,即简单的攻防原理。

所以即使特别在意频发的漏洞问题,仍然还是会有攻破-解决-再攻破-再解决的过程,只是因为碎片化和开放性这些安全问题被放大的可能性增大了,但其 中攻防原理其实跟我们当年等待 iOS 破解是一样的道理,攻防本身与用户无关,这似乎就是一场黑白客之间的博弈,而作为用户还能做些什么呢?


原文发布时间为:2015-10-29

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。






相关文章
|
1月前
|
XML Java 数据库
安卓项目:app注册/登录界面设计
本文介绍了如何设计一个Android应用的注册/登录界面,包括布局文件的创建、登录和注册逻辑的实现,以及运行效果的展示。
129 0
安卓项目:app注册/登录界面设计
|
1天前
|
安全 Apache 开发工具
【Azure App Service】在App Service上关于OpenSSH的CVE2024-6387漏洞解答
CVE2024-6387 是远程访问漏洞,攻击者通过不安全的OpenSSh版本可以进行远程代码执行。CVE-2024-6387漏洞攻击仅应用于OpenSSH服务器,而App Service Runtime中并未使用OpenSSH,不会被远程方式攻击,所以OpenSSH并不会对应用造成安全风险。同时,如果App Service的系统为Windows,不会受远程漏洞影响!
|
2月前
|
Java 数据库 Android开发
一个Android App最少有几个线程?实现多线程的方式有哪些?
本文介绍了Android多线程编程的重要性及其实现方法,涵盖了基本概念、常见线程类型(如主线程、工作线程)以及多种多线程实现方式(如`Thread`、`HandlerThread`、`Executors`、Kotlin协程等)。通过合理的多线程管理,可大幅提升应用性能和用户体验。
114 15
一个Android App最少有几个线程?实现多线程的方式有哪些?
|
2月前
|
存储 开发工具 Android开发
使用.NET MAUI开发第一个安卓APP
【9月更文挑战第24天】使用.NET MAUI开发首个安卓APP需完成以下步骤:首先,安装Visual Studio 2022并勾选“.NET Multi-platform App UI development”工作负载;接着,安装Android SDK。然后,创建新项目时选择“.NET Multi-platform App (MAUI)”模板,并仅针对Android平台进行配置。了解项目结构,包括`.csproj`配置文件、`Properties`配置文件夹、平台特定代码及共享代码等。
132 2
|
2月前
|
XML Android开发 数据格式
🌐Android国际化与本地化全攻略!让你的App走遍全球无障碍!🌍
在全球化背景下,实现Android应用的国际化与本地化至关重要。本文以一款旅游指南App为例,详细介绍如何通过资源文件拆分与命名、适配布局与方向、处理日期时间及货币格式、考虑文化习俗等步骤,完成多语言支持和本地化调整。通过邀请用户测试并收集反馈,确保应用能无缝融入不同市场,提升用户体验与满意度。
90 3
|
1月前
|
安全 网络安全 Android开发
深度解析:利用Universal Links与Android App Links实现无缝网页至应用跳转的安全考量
【10月更文挑战第2天】在移动互联网时代,用户经常需要从网页无缝跳转到移动应用中。这种跳转不仅需要提供流畅的用户体验,还要确保安全性。本文将深入探讨如何利用Universal Links(仅限于iOS)和Android App Links技术实现这一目标,并分析其安全性。
193 0
|
2月前
|
Java 数据库 Android开发
一个Android App最少有几个线程?实现多线程的方式有哪些?
本文介绍了Android应用开发中的多线程编程,涵盖基本概念、常见实现方式及最佳实践。主要内容包括主线程与工作线程的作用、多线程的多种实现方法(如 `Thread`、`HandlerThread`、`Executors` 和 Kotlin 协程),以及如何避免内存泄漏和合理使用线程池。通过有效的多线程管理,可以显著提升应用性能和用户体验。
69 10
|
2月前
|
XML 数据库 Android开发
10分钟手把手教你用Android手撸一个简易的个人记账App
该文章提供了使用Android Studio从零开始创建一个简单的个人记账应用的详细步骤,包括项目搭建、界面设计、数据库处理及各功能模块的实现方法。
|
3月前
|
API Android开发
Android P 性能优化:创建APP进程白名单,杀死白名单之外的进程
本文介绍了在Android P系统中通过创建应用进程白名单并杀死白名单之外的进程来优化性能的方法,包括设置权限、获取运行中的APP列表、配置白名单以及在应用启动时杀死非白名单进程的代码实现。
62 1
|
3月前
|
Android开发 iOS开发 C#
Xamarin:用C#打造跨平台移动应用的终极利器——从零开始构建你的第一个iOS与Android通用App,体验前所未有的高效与便捷开发之旅
【8月更文挑战第31天】Xamarin 是一个强大的框架,允许开发者使用单一的 C# 代码库构建高性能的原生移动应用,支持 iOS、Android 和 Windows 平台。作为微软的一部分,Xamarin 充分利用了 .NET 框架的强大功能,提供了丰富的 API 和工具集,简化了跨平台移动应用开发。本文通过一个简单的示例应用介绍了如何使用 Xamarin.Forms 快速创建跨平台应用,包括设置开发环境、定义用户界面和实现按钮点击事件处理逻辑。这个示例展示了 Xamarin.Forms 的基本功能,帮助开发者提高开发效率并实现一致的用户体验。
147 0