百度手机助手远程命令执行漏洞安全预警

百度手机助手（Android版）最新版本某组件存在缺陷，可被外部应用恶意利用，以百度手机助手同等权限执行任意代码。

4月9日上午（10：38），乌云平台收到白帽子@Lyleaks 报告一个百度手机助手安全漏洞（编号：WooYun-2016-194107），类型为远程代码执行。

白帽子发现，百度手机助手（Android版）最新版本7.0.0某组件存在缺陷，可被外部应用恶意利用，以百度手机助手同等权限执行任意代码。如果用户授予了百度手机助手ROOT或自动安装应用等高级权限，攻击者可远程控制手机，静默安装卸载手机应用以及造成更多危害。

百度手机助手由百度出品，是一款Android应用商店和手机管理软件，在国内第三方应用商店的市场份额中名列前三，用户量过亿。

漏洞报告厂商后，百度第一时间确认并进行修复。

乌云建议使用百度手机助手的用户，近期可关注官方推出的修复版本，并及时更新（版本应高于7.0.1）。更新前可考虑暂时取消授予助手的高级权限。同时建议大家不要安装非官方渠道下载的应用，警惕可能存在的攻击行为。

关联漏洞链接：
http://wooyun.org/bugs/wooyun-2016-0194107

网站：security.wooyun.org

微博：乌云安全中心

联系邮箱：app_feedback@wooyun.org