【大紀元2015年11月03日訊】(大紀元記者陳俊村報導)大陸網絡安全漏洞報告平臺烏雲網日前披露,百度公司開發的一種軟件開發工具受到「蟲洞」(WormHole)漏洞的影響,允許駭客自遠端執行任意程式,因而形成安全問題。趨勢科技公司評估說,此一漏洞影響1.4萬款app(應用程式),波及上億臺Android裝置。
百度公司這種名為Moplus的軟件開發工具包(Software Development Kit, SDK),適用於使用Android系統的手機、平板電腦等裝置。趨勢科技稱,這種SDK整合了超過1.4萬款app,其中有大約4千款app是百度自行開發的,估計影響市場上億臺Android裝置。
趨勢科技分析說,Moplus當中有許多沒有必要的後門功能,但其權限存取控制出了問題。這些後門功能可使他人在未經裝置用戶同意之下傳送網絡釣魚頁面、新增聯絡資訊、傳送偽造的簡訊、或自裝置上傳檔案,也能從遠端安裝任何app至裝置上,而且只要裝置連上網絡,就可能遭到他人濫用。
專家認為,此次安全問題的嚴重程度已經超出先前被發現的「怯場」(Stagefright)漏洞,該漏洞需要駭客向用戶發送簡訊,當用戶打開鏈結後才能進行攻擊。而就「蟲洞」漏洞而言,駭客只要掃描網絡上的IP,找到目標就能展開攻擊,完全不需與用戶有任何互動。
趨勢科技已將此次研究結果通知百度及谷歌兩家公司。而在該漏洞曝光之後,百度發布了更新版本的SDK,該公司相關人員也聲稱已經不存在安全問題,但趨勢科技在檢查後發現,百度雖然移除Moplus中可自遠端安裝程式的指令,卻還遺留部分可遭濫用的功能。
趨勢科技建議用戶安裝該公司的Mobile Security & Antivirus免費防毒軟件,以過濾含有惡意SDK的app。
責任編輯:蘇漾
