大紀元

百度app安全漏洞 波及上亿台Android装置

陈俊村
2015-11-03 18:30 中港台时间|11-03 21:47 更新
人气 1561

【大纪元2015年11月03日讯】(大纪元记者陈俊村报导)大陆网络安全漏洞报告平台乌云网日前披露,百度公司开发的一种软件开发工具受到“虫洞”(WormHole)漏洞的影响,允许骇客自远端执行任意程式,因而形成安全问题。趋势科技公司评估说,此一漏洞影响1.4万款app(应用程式),波及上亿台Android装置。

百度公司这种名为Moplus的软件开发工具包(Software Development Kit, SDK),适用于使用Android系统的手机、平板电脑等装置。趋势科技称,这种SDK整合了超过1.4万款app,其中有大约4千款app是百度自行开发的,估计影响市场上亿台Android装置。

趋势科技分析说,Moplus当中有许多没有必要的后门功能,但其权限存取控制出了问题。这些后门功能可使他人在未经装置用户同意之下传送网络钓鱼页面、新增联络资讯、传送伪造的简讯、或自装置上传档案,也能从远端安装任何app至装置上,而且只要装置连上网络,就可能遭到他人滥用。

专家认为,此次安全问题的严重程度已经超出先前被发现的“怯场”(Stagefright)漏洞,该漏洞需要骇客向用户发送简讯,当用户打开链接后才能进行攻击。而就“虫洞”漏洞而言,骇客只要扫描网络上的IP,找到目标就能展开攻击,完全不需与用户有任何互动。

趋势科技已将此次研究结果通知百度及谷歌两家公司。而在该漏洞曝光之后,百度发布了更新版本的SDK,该公司相关人员也声称已经不存在安全问题,但趋势科技在检查后发现,百度虽然移除Moplus中可自远端安装程式的指令,却还遗留部分可遭滥用的功能。

趋势科技建议用户安装该公司的Mobile Security & Antivirus免费防毒软件,以过滤含有恶意SDK的app。

责任编辑:苏漾

标签
相关专题:
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台

留言

  • 大纪元保留删除恶意留言的权利,包括低俗、误导或攻击信仰等内容
本网站图文內容归大纪元所有, 任何单位及个人未经许可,不得擅自转载使用。
Copyright© 2000 - 2026 The Epoch TimesAssociation Inc.All Rights Reserved.