11月19日消息,一家名为TrustLook的公司最新发布博文称,百度系应用曝出“虫洞”漏洞(Wormhole)后,360手机助手的3.1.55版本也存在被远程攻击的风险,TrustLook将此命名为DimensionDoor(尺寸门?)。不过据查证,3.1.55是360手机助手在2014年的老版本,目前主流的3.5正式版和beta版均早已修复了远程端口的安全问题,用户可以放心使用。

在发布到专业安全媒体Freebuf的官方回应中,360手机助手安全团队表示:

1、TrustLook文中分析的3.1.55是360手机助手2014年的老版本,目前官方正式版和beta版均不存在远程端口安全风险。

2、360手机助手的APK下载会弹出助手下载页面,是具有界面交互的正常功能,整个过程用户有明确感知,与百度系产品被利用静默无提示安装任意应用的“虫洞漏洞有本质区别。TrustLook公布的演示视频也证明了这一点,“DimensionDoor”的定义不妥。

3、TrustLook博客中提到打开任意网页的问题实际是不存在的。360手机助手对打开的url有着严格限制,只能打开360域名的网页。文中根据逆向分析猜测,与真实的产品功能逻辑相差甚远。

360方面强调说,在百度“虫洞”漏洞爆发前,360手机助手对此类安全风险已经有着严格的防护措施,包括对下载地址、应用安全性都会进行云安全检测,只允许合法可信应用的下载安装,同时会对用户进行明确的界面提示,防止产品被恶意利用。

据悉,TrustLook是近年来才创立于硅谷的一家安全公司,但其创始人和员工大多是华人,因此才会关注到国内软件的安全问题。“DimensionDoor”一文作者署名为Tianfang Guo和Mengmeng Li,很明显都是华人员工。

在百度“虫洞”漏洞事件中,国外的趋势科技发布详实报告引发业界轰动,此前另一家美国安全公司PaloAltoNetworks也因为曝光苹果Xcode后门事件大出风头。与这两家著名安全公司相比,TrustLook的专业性和技术实力还有着较大差距,专门发文研究一个历史老版本的安全问题也免不了“炒冷饭”之嫌,毕竟GooglePlay历史上也曾经多次曝光远程攻击漏洞,影响范围和危害都远远超过所谓的DimensionDoor。

记者采访360方面相关负责人获悉,该公司技术人员已经就TrustLook的博客文章与对方沟通,详细列举了对方文中的部分失实内容,同时欢迎TrustLook研究人员对360手机助手官网主流版本进行分析研究,希望能够得到真正有助于提升产品安全性的宝贵意见。