百度app安全漏洞 波及上億臺Android裝置

大陸網路安全漏洞報告平臺烏雲網日前披露，百度公司開發的一種軟體開發工具受到「蟲洞」（WormHole）漏洞的影響，允許駭客自遠端執行任意程式，因而形成安全問題。趨勢科技公司評估說，此一漏洞影響1.4萬款app（應用程式），波及上億臺Android裝置。

百度公司這種名為Moplus的軟體開發工具包（Software Development Kit, SDK），適用於使用Android系統的手機、平板電腦等裝置。趨勢科技稱，這種SDK整合了超過1.4萬款app，其中有大約4千款app是百度自行開發的，估計影響市場上億臺Android裝置。

趨勢科技分析說，Moplus當中有許多沒有必要的後門功能，但其權限存取控制出了問題。這些後門功能可使他人在未經裝置用戶同意之下傳送網路釣魚頁面、新增聯絡資訊、傳送偽造的簡訊、或自裝置上傳檔案，也能從遠端安裝任何app至裝置上，而且只要裝置連上網路，就可能遭到他人濫用。

專家認為，此次安全問題的嚴重程度已經超出先前被發現的「怯場」（Stagefright）漏洞，該漏洞需要駭客向用戶發送簡訊，當用戶打開連結後才能進行攻擊。而就「蟲洞」漏洞而言，駭客只要掃描網路上的IP，找到目標就能展開攻擊，完全不需與用戶有任何互動。

趨勢科技已將此次研究結果通知百度及谷歌兩家公司。而在該漏洞曝光之後，百度發布了更新版本的SDK，該公司相關人員也聲稱已經不存在安全問題，但趨勢科技在檢查後發現，百度雖然移除Moplus中可自遠端安裝程式的指令，卻還遺留部分可遭濫用的功能。

趨勢科技建議用戶安裝該公司的Mobile Security & Antivirus免費防毒軟體，以過濾含有惡意SDK的app。