)
近日,乌云漏洞平台曝出WormHole漏洞,成为2015年下半年最具影响力的系统漏洞事件。在此事件中,百度数十款产品中招上榜,国内装机量巨大的手机百度、百度地图、百度浏览器、百度手机助手、百度云等百度旗下APP受到影响。事件一出,此话题被迅速传播,“百度全家桶”在10月29日登顶微博热搜榜榜首。
乌云漏洞平台显示,WormHole漏洞寄生于APP,攻击者可以对装有这些APP的用户手机进行远程静默安装应用、远程启动任意应用、远程打开任意网页、远程静默添加联系人、远程获取用用户的GPS地理位置信息/获取IMEI信息/安装应用信息、远程发送任意intent广播、远程读取写入文件等,此漏洞不仅具有极强的权限,更能通过恶意软件的植入,造成被攻击者的隐私财产损失,受影响用户预计将达三亿。
而据最新消息,相关的安全专家表示,“WormHole 漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广app 的用途。从以往的经验来看,曝光的漏洞,后续影响范围基本上都会扩大。这次WormHole 漏洞也是一样。据乌云匿名员工透露,除了已经确认的百度系全家桶应用之外,使用了百度提供的软件开发工具包(SDK)的应用也有许多集体中招,比如途牛旅游、万达电影等等。另外,百度系的91、hao123 等业务旗下的应用也都有上榜。这意味着除了12款最早中招的百度APP外,此次漏洞门波及到的百度软件已经扩展到30余款!最新中招名单如下:
在微博上,网友们在担心自己是否中招,是否存在财产信息、照片泄露等问题后,发挥智慧开始针对百度诱导装机,产生了“百度全家桶”展开了大范围吐槽。#百度全家桶#为毛想卸载百度,却卸不掉,请各位大神支招;百度霸权时代即将终结?别每天想着做大,还是要精根细作踏踏实实的等等……
除了对百度预装、诱导下载等行径表达不满外,还有一些网友们发挥聪明才智,发动起百度产品漏洞的嘲讽。#百度全家桶#12款app集齐,可否召唤神龙?手机吓得都扔出去了,忽然想到自己是苹果机,怕毛啊;在百度糯米上找了半天,也没看到有百度全家桶啊,换美团试试?
此外,还有一部分网友,向百度的竞争对手们展开“求助”,在知道解决漏洞问题比较简单,只要卸载百度漏洞产品即可之后,网友说:#百度全家桶#相信这已经不是第一次出现互联网安全问题了,360在哪里?我们支持你;搜索用360好搜,看视频用搜狐,看新闻用今日头条,看帖子用虎扑,完美!
当然,相关专家提醒,由于此次受WormHole漏洞影响的APP产品大多来百度,建议用户及时选择360好搜等其它互联网软件产品,以免受到新的黑客技术威胁,造成更大的财产损失。毕竟主打安全的360能用安全技术实力为用户的个人隐私、账号密码等重要信息保驾护航,特别是好搜在业界率先推出欺诈推广全赔、网购先赔等搜索安全产品,从产品安全角度以及财产安全角度贯彻安全。所以,安卓用户快速卸载百度系APP也可及时避开漏洞门的威胁。
从本次事件发生后网友的态度来看,百度通过ROM预装,APP相互诱导下载等手段提升市场占有率的产品推销手法,已经引发了大批手机用户的不满,此次百度多达30余款产品受到漏洞影响,并将安全问题集中爆发出来,令多数用户失望。由于WormHole已经被乌云漏洞平台即使发展并反馈百度,此事件所造成的损失暂不得而知,但是,百度产品出现漏洞,一纸通告可以摆平,用户钱包受损,真令人欲哭无泪。敢问,没有网购先赔政策的百度,用户损失Robin大大管赔吗?
我来说两句排行榜