百度全系APP惊爆后门漏洞，数亿安卓手机成定时炸弹

　　百度全系APP惊爆后门漏洞，数亿安卓手机成定时炸弹

　　近日，关于百度产品“安全门”的消息在网络上传的沸沸扬扬。百度被指在其多个Android应用中留有后门，更为惊人的是这一后门还存在严重的漏洞，任何黑客均可以通过这个漏洞对安装了相关百度应用的用户手机实现远程操控。

　　已经被证实存在漏洞的产品包括手机百度、百度地图、百度贴吧、百度手机助手、爱奇艺等在内的百度全系产品，同时因为使用了百度提供的SDK(软件开发工具包)，途牛旅游、万达电影等其他多个热门应用也同样受到波及，直接影响的安卓用户量数以亿计。

　　百度全系产品被曝出后门漏洞，数亿安卓用户身陷囹圄

　　10月27日，知名科技博主“月光博客”在微博上发布了一个安卓平台高危漏洞的信息，并列出了受影响的APP名单。因为漏洞带来的后果极其严重恶劣，消息一经发布就在网络上被迅速疯传，吸引了大量业界人士和普通民众的关注。

　　随后，虎嗅、36氪等多个业内权威媒体也相继确认了这一漏洞，其中雷锋网还发布了一段针对此漏洞的演示视频。从视频中发现，黑客可以通过百度产品的这一后门漏洞，对用户手机进行远程控制，包括静默安装应用/添加或修改联系人、启动任意应用、上传隐私短信和照片、弹对话框显示广告或者钓鱼链接等等。

　　据了解，早在10月14日就有人在国内安全反馈平台乌云上报告了一个百度系应用的高危漏洞，这一漏洞已经被百度承认，并称已经通知产品线进行修复。随后乌云官方也在微博中对此漏洞有简短的描述和打码视频披露，漏洞被原始发现者命名为“wormhole”，意为虫洞漏洞。

　　漏洞命名“不朽的服务”，疑为百度自留后门

　　随着“百度全家桶”这一话题在网络上的持续热议和发酵，一个更为惊人的猜测渐渐浮出水面：这一问题并非常规性的技术漏洞，而是产品研发人员一早就留下的后门!换句话说，这个漏洞其实是百度为自己留的后门，以便通过这个后门对用户手机实现远程控制，静默安装应用以及推送广告，从而获得非法盈利。

　　有黑客在网上曝光了漏洞代码截图，可以发现代码被人为命名为“ImmortalService”，意译即为“不朽的服务”。如果这一消息属实，对一贯提倡“简单，可依赖”价值观的百度来说，将是一个天大的讽刺。

　　令广大安卓用户担忧的是，这一后门还存在着严重漏洞，只要手机联网(无论是wifi还是2G/3G/4G蜂窝网络)，任何黑客均可以通过这一漏洞进行攻击，攻击者事先无需接触手机，无需使用DNS欺骗，即可对用户手机实现远程操控，这让安装了百度应用的安卓手机成为了一颗随时可能爆炸的定时炸弹。

　　信息隐患日渐突出，网络安全亟待加强

　　随着智能手机的迅速发展和普及，一方面给大众生活带来了更多便利，而另一方面网络安全问题也越来越突出。近年来众多网络厂商不断被曝出产品漏洞问题，用户个人隐私泄露、网银财产损失等问题日渐严重，网络信息安全这一领域开始慢慢进入大众视线。

　　有互联网安全专业人士提出，要打造一个安全放心的网络环境，需在立法层面建立更加细化、严格的行业管理标准，地方和相关部门应根据网络安全法制定符合各地实际的网络安全等级法规，将网络信息安全管理的相关条例精细化并予以落实。

　　截止发稿，百度多个产品官博已经在微博上回应承认了这一漏洞，并称产品团队已紧急修复了该漏洞。但据业内人士透露，百度产品线丰富，同时wormhole是客户端漏洞，再加上海量的百度预装应用，要想要完全消除wormhole后门漏洞的隐患，百度必须修复并让所有用户更新全系的应用，保守估计需要数周的时间。

　　在此期间，用户的隐私和财产随时都面临风险。该业内人士建议，一旦厂商发布修复版本，请立刻更新。在百度官方确认已修复了全部的产品问题之前，在后台禁止相关App运行，并且暂时选择替代App。