“百度系”APP存严重漏洞？

　　昨天，一份“百度全系APP SDK漏洞——WormHole虫洞漏洞分析报告”在网上流传。文中称，“找到了一个非常严重的socket远程攻击漏洞，影响多个用户量过亿的APP。”为此，百度方面对北京青年报记者回应已经在第一时间将漏洞修复，建议用户尽快升级到最新版本；同时表示苹果用户不受影响。

　　北青报记者发现，该漏洞10月14日已在乌云平台上提交，标题为“百度系应用安卓版远程代码执行漏洞（百度地图/输入法为例）”。据乌云报告，百度全系安卓APP存在一个“WormHole”的安全漏洞，只要安卓设备连接网络，无论是否root，黑客都能对设备实现远程操控，安装指定应用；同时，还可上传隐私短信和照片，弹出对话框显示广告或钓鱼链接等。据乌云报告，该漏洞影响许多安卓平台用户量过亿的APP，其中便包括：百度地图、百度云、百度输入法等十多款百度系APP。

　　专业人士指出，“WormHole”是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。此端口本来是用于广告网页、升级下载、推广APP 的用途。黑客拿下这个端口的权限，便可以获得手机近乎全部的控制权。

　　为此，百度方面对北青报记者回应表示，“百度安全团队在此之前已发布预警信息，并在第一时间进行了漏洞修复。目前，百度系列产品安卓版本已全部完成新版本更新上线，苹果手机产品不受影响。请用户尽快升级到最新版。感谢安全社区的帮助和大家关心。”网友对此迅速响应评论道“态度不错”、“百度速度就是快”。