10月28日，乌云漏洞平台曝百度旗下多款APP存在Wormhole漏洞。近日，漏洞发现者公开了漏洞的细节：安装了包含漏洞的百度系APP手机，无论是WiFi无线网络或者3G/4G 蜂窝网络，只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机，无需使用DNS欺骗；且此漏洞只与app有关，不受系统版本影响。

360手机安全专家分析指出：Wormhole漏洞的危害主要有以下四方面：

1. 用户手机安装带有Wormhole漏洞的百度APP后，黑客就可以利用Wormhole漏洞弹出任意钓鱼网页；

2. 可以利用Wormhole漏洞添加任意联系人信息，在通讯录中伪装成亲友等身份向机主发送短信；

3. 可以利用Wormhole漏洞获取手机上的任意文件，如照片、隐私文件等，上传至相关网站，导致中招用户的隐私泄露；

4. 可以利用Wormhole漏洞在不接触手机的情况下，远程安装木马在手机中，并通过Wormhole漏洞远程打开木马应用，从而控制手机。

由于本次漏洞涉及的手机应用程序较多，360手机安全专家为手机用户推荐了一个简便的方式自测方式：打开一款百度系应用，用浏览器访问链接：

http://127.0.0.1:40310/getcuid?secret=0mcmdf=inapp_callback=m4bln_deviceid_callback ，

如果返回安装应用列表，则说明有漏洞。

以下是漏洞发现者公布的受影响的APP名称列表，如果手机中安装有列表中的应用，360手机安全专家建议，手机用户可以通过360手机助手或官网将应用升级到最新版本，如果该应用暂未更新，手机用户可暂时卸载该应用，待版本更新后再安装使用，以避免被Wormhole漏洞攻击。

双11临近 当心假红包猖獗

双十一购物节临近，一些网络骗子也开始忙碌起来。日前，360手机安全中心接到用户举报，称在微信群中发现了一种假冒的红包，点开之后不仅不是任何商家的优惠券或现金券，竟然是个钓鱼网站。这种假红包还会引导用户分享到更多的微信群里，试图诱骗更多网友上当受骗。

手机用户反映称，在微信里收到一个名为“【天猫双11红包】提前开抢啦！”的红包链接，需要分享到至少3个微信群才能领取。然而分享后并没有领取到红包，而是被引导下载了一个陌生的APP。

360手机安全专家对这种假红包进行技术分析后发现，这种红包实际上来自于某个返利网站。进一步分析后发现，这一地址实际上会跳转到域名为fanhuan的网站。手机用户点击链接下载的APP就来自于这一域名的网站。

据了解，这种假冒的红包在微信群中传播时，以“天猫双11红包提前开抢啦”作为标题，打着天猫商城的名义招摇撞骗。目前已有不少网友已经发现了这一假冒红包的骗局，在微信群中相互提醒仍在转发的网友。

360手机安全专家提醒称，双11购物节临近之时，各类商家都会借此机会进行宣传营销活动，这类假冒红包对用户的危害比较大，而且较难识别，因此网友需格外留意，切勿轻易点击微信群中来历不明的红包、优惠券等，以免个人隐私信息的泄露。如果点击陌生链接后诱导或自动下载了陌生应用，手机用户可及时通过360手机卫士对手机进行安全检查。

360专家：不要把验证码告诉骗子

网上消费越来越普及，有些消费者也习惯于在网上购买理财产品，或者直接把卡内余额转到理财账户来赚取收益。不过，诈骗分子也借机钻空子，假借“基金账户”、“理财账户”等转走消费者银行卡余额，索要验证码实施诈骗，北京的张先生差点因此损失数万元。CCTV《朝闻天下》栏目报道了这一新型银行诈骗，邀请360手机安全专家进行解密，提醒用户小心警惕。

10月7日的晚上9点多，北京的张先生手机突然收到了银行发来的短信，显示他银行卡上的活期余额被转到了一个基金账户。情急之下，张先生询问了银行客服，被告知确实有此操作记录。从来没有购买过基金产品，为什么银行卡里的钱会被莫名转走？

张先生越想越蹊跷，这时他想起手机上有几个未接电话，打过去发现，对方自称银行客服，声称银行误操作了张先生的账户，只要张先生把手机里的验证码告诉他，就可以将基金账户里的钱退还到银行卡里。这究竟是怎么回事呢？

360手机安全专家告诉记者，这是一种新型的银行诈骗方式，最近十分流行。记者随后在网上查询了这种新型诈骗的受害人，发现人数众多。被骗金额少则几千元，多则几十万元。

专家表示，诈骗分子首先通过各种手段获取了用户的银行卡卡号、密码、手机号、身份证号等。但是拿到这些个人隐私之后，骗子并不能把钱从银行取出来，只能骗消费者给他们转账。需要以下几个步骤：

第一步：使用消费者的银行账户和密码，将卡内一部分资金转入理财账户或者活期账户转入定期账号，银行会将操作信息自动发送到消费者手机上。

第二步：迅速给消费者打电话，谎称客服，提示消费者系统故障，刚刚的理财交易是银行误操作。

第三步：通过各种语言迷惑消费者，比如银行近期故障多，或许会再次误操作；投入理财的钱不保证收益，可能会带来更大的损失等等，让已经慌了神的消费者听信他们的忽悠，想要立刻退款。

第四步，也是最重要的一步：索要验证码。

360手机安全专家葛健表示：“这个验证码实际上是骗子发起的一笔交易或者转账，甚至是骗子开通的一个快捷支付，如果消费者把验证码提供给对方，那么这笔交易或者功能就开通了。”

也就是说，消费者一旦交出验证码，交易就会完成，卡里的钱就会被瞬间转走。而且，很多银行都推出了小额快捷支付，1000元以下的交易不需要验证码，只需要一次验证就可以开通此项目，之后每次转999元，直到卡中的余额被转光，整个过程用不了几分钟。

360手机安全专家提醒广大消费者，面对这种新型诈骗，最关键在于“验证码”。正规的银行客服不会打电话索要验证码，而没有拿到验证码，诈骗分子就无法进行下一步操作。如果发现自己银行卡里的钱被转到理财账户，不要惊慌，可以拨打银行的官方客服电话处理，或者损失一部分手续费，自己通过网上银行转回普通账户即可；如果接到自称银行客服的电话，可以使用360手机卫士等安全软件帮助鉴别真伪，拦截诈骗电话，防止上当受骗。