百度手机助手(Android版)最新版本某组件存在缺陷,可被外部应用恶意利用,以百度手机助手同等权限执行任意代码。
4月9日上午(10:38),乌云平台收到白帽子@Lyleaks 报告一个百度手机助手安全漏洞(编号:WooYun-2016-194107),类型为远程代码执行。
白帽子发现,百度手机助手(Android版)最新版本7.0.0某组件存在缺陷,可被外部应用恶意利用,以百度手机助手同等权限执行任意代码。如果用户授予了百度手机助手ROOT或自动安装应用等高级权限,攻击者可远程控制手机,静默安装卸载手机应用以及造成更多危害。
百度手机助手由百度出品,是一款Android应用商店和手机管理软件,在国内第三方应用商店的市场份额中名列前三,用户量过亿。
漏洞报告厂商后,百度第一时间确认并进行修复。
乌云建议使用百度手机助手的用户,近期可关注官方推出的修复版本,并及时更新(版本应高于7.0.1)。更新前可考虑暂时取消授予助手的高级权限。同时建议大家不要安装非官方渠道下载的应用,警惕可能存在的攻击行为。
关联漏洞链接:
http://wooyun.org/bugs/wooyun-2016-0194107
网站:security.wooyun.org
微博:乌云安全中心
联系邮箱:app_feedback@wooyun.org
推荐阅读:笔记本有哪些牌子