前有XcodeGhost事件让苹果手机用户陷入了被“透明”的尴尬境地,事实证明,遭殃的不仅仅是苹果和他的手机用户,这一次轮到了百度!
据科技网站PCWorld报道,由百度开发的一款SDK(软件开发工具包)包含有一项特性,能使黑客以后门方式访问用户设备。数以千计的Android应用利用了百度的这款SDK。
安全厂商趋势(Trend Micro)研究人员周日发表博文称,这款SDK名为Moplus,尽管它不向公众开放,但被整合在逾1.4万款应用中,其中约4000款是由百度开发的。趋势估计,受影响应用的用户总数超过1亿。
趋势的分析报告称,Moplus SDK会在安装有受影响应用的设备上开启一个HTTP服务器,它不使用任何认证技术,接受来自互联网上任意设备的请求。
更糟糕的是,通过向这一隐藏的HTTP服务器发送请求,黑客可以执行在SDK中实现的预先定义的命令。这些命令可以用来提取位置数据和搜索关键字等敏感信息,以及增加新联系人、上传文件、打电话、显示虚假信息、安装应用。
在越狱的设备上,这款SDK允许静默安装应用,这意味着用户不会收到提示信息。事实上,趋势研究人员已经发现一款利用该漏洞安装用户不需要应用的蠕虫病毒——ANDROIDOS_WORMHOLE.HRXA。
趋势研究人员认为,在许多方面,Moplus缺陷比今年早些时候在Android Stagefright库中发现的一处缺陷更糟糕,因为后者至少要求黑客向用户发送恶意彩信,或诱惑用户打开恶意链接。
研究人员称,为了利用该Moplus缺陷,黑客只需扫描整个移动网络,发现打开特定Moplus HTTP服务器端口的IP地址。
趋势已经向百度和谷歌通报了这一安全问题。
趋势安全研究人员称,百度已经发布了新版SDK,删除了部分命令,但它仍然开启HTTP服务器,部分功能仍然会被黑客滥用。
百度研究人员通过一封电子邮件称,该公司已经修复了10月30日前报告的所有安全缺陷,这款SDK中不存在“后门”,在新版SDK中,不活跃代码将被去除。
但是,问题在于使用这款SDK的第三方开发者更新他们应用的速度。趋势列出的20款受影响最大的应用包括第三方开发的应用,部分还没有从Google Play下架。
