百度app安全漏洞 波及上億臺Android裝置

【記者陳俊村/報導】
大陸網路安全漏洞報告平臺烏雲網日前披露,百度公司開發的一種軟體開發工具受到「蟲洞」(WormHole)漏洞的影響,允許駭客自遠端執行任意程式,因而形成安全問題。趨勢科技公司評估說,此一漏洞影響1.4萬款app(應用程式),波及上億臺Android裝置。

百度公司這種名為Moplus的軟體開發工具包(Software Development Kit, SDK),適用於使用Android系統的手機、平板電腦等裝置。趨勢科技稱,這種SDK整合了超過1.4萬款app,其中有大約4千款app是百度自行開發的,估計影響市場上億臺Android裝置。

趨勢科技分析說,Moplus當中有許多沒有必要的後門功能,但其權限存取控制出了問題。這些後門功能可使他人在未經裝置用戶同意之下傳送網路釣魚頁面、新增聯絡資訊、傳送偽造的簡訊、或自裝置上傳檔案,也能從遠端安裝任何app至裝置上,而且只要裝置連上網路,就可能遭到他人濫用。

專家認為,此次安全問題的嚴重程度已經超出先前被發現的「怯場」(Stagefright)漏洞,該漏洞需要駭客向用戶發送簡訊,當用戶打開連結後才能進行攻擊。而就「蟲洞」漏洞而言,駭客只要掃描網路上的IP,找到目標就能展開攻擊,完全不需與用戶有任何互動。

趨勢科技已將此次研究結果通知百度及谷歌兩家公司。而在該漏洞曝光之後,百度發布了更新版本的SDK,該公司相關人員也聲稱已經不存在安全問題,但趨勢科技在檢查後發現,百度雖然移除Moplus中可自遠端安裝程式的指令,卻還遺留部分可遭濫用的功能。

趨勢科技建議用戶安裝該公司的Mobile Security & Antivirus免費防毒軟體,以過濾含有惡意SDK的app。

延伸閱讀
App產業當紅 台中產官學合拓商機
2015年10月27日 | 9年前
陸廣告商竊個資 蘋果下架256款App
2015年10月20日 | 9年前
健保App改版 可查詢就醫紀錄
2015年10月13日 | 9年前
旅人常備!8款免費app
2015年08月31日 | 9年前
HTC遭爆指紋未加密 有被竊風險
2015年08月11日 | 9年前
取消