百度Android开发工具存漏洞 数千款应用受影响

[导读]北京时间11月3日上午消息,百度提供的一个软件开发包(SDK)被曝光存在后门,而黑客可以利用这一后门入侵用户的设备。这一SDK被用在了数千款Android应用中。 趋势科技的信息安全研究人员周二表示,这一SDK名为Moplus。尽管没有公开发布,但这一SDK被集成至超过

北京时间11月3日上午消息,百度提供的一个软件开发包(SDK)被曝光存在后门,而黑客可以利用这一后门入侵用户的设备。这一SDK被用在了数千款Android应用中。

趋势科技的信息安全研究人员周二表示,这一SDK名为Moplus。尽管没有公开发布,但这一SDK被集成至超过1.4万个应用,其中只有约4000个应用为百度开发。

趋势科技估计,受影响的应用被超过1亿用户使用。根据该公司的分析,Moplus SDK在用户设备上启动了HTTP服务器。这一服务器没有使用任何验证机制,会接受互联网上任何人的请求。

更糟糕的是,通过向这一隐藏的HTTP服务器发送请求,攻击者可以执行SDK中预定义的命令。这意味着攻击者可以获得位置数据和搜索关键词等敏感信息,并执行新增联系人、上传文件、拨打电话、显示伪造消息,以及安装应用等操作。

在被root的Android设备上,这一SDK允许应用的静默安装。这意味着,用户在没有看到任何确认消息的情况下,应用就可能被安装至设备。实际上,趋势科技的研究人员已经发现了一种蠕虫病毒,利用这一后门安装用户不需要的应用。这一恶意软件名为ANDROIDOS_WORMHOLE.HRXA。

趋势科技表示,从多个方面来看,Moplus漏洞都要比今年早些时候Android Stagefright库中发现的漏洞更严重。利用后一漏洞,攻击者至少需要向用户手机发送恶意的多媒体消息,或是欺骗用户打开恶意链接。而如果希望利用Moplus漏洞,那么攻击者可以扫描整个移动互联网,寻找Moplus HTTP服务器开启的IP地址。

百度已经发布了新版SDK,删除了一些命令。但趋势科技表示,HTTP服务器目前仍会开启,而一些功能仍可能被滥用。

百度一名发言人表示,百度已修复了10月30日报告给该公司的所有信息安全漏洞。“关于趋势科技最新报告的可能存在问题的其余代码,在我们的修复之后已成为无用代码,不会产生影响。”

这名发言人表示,百度没有提供“后门”。而在该公司的下一版应用中,这些未激活代码将会被删除。

不过目前的问题在于,第三方开发者将会在多长时间内用最新SDK去升级自己的应用。趋势科技列出的前20大受影响应用中包括非百度开发的应用,而其中有一些仍在谷歌Play中提供下载。

作者:宇轩 2015-11-03

网友评论
人物专访
一语中的 发人深省时评观点
数据分析
任天堂16-17财年前三季度财报:纯利润1029亿日元
任天堂16-17财年前三
2016二次元手游:79%自研 66款进iOS畅销前100
2016二次元手游79%自
Top10游戏企业自研手游流水611.5亿 腾讯网易占51%
Top10游戏企业自研手
移动游戏
过去10年移动游戏大规模发展 未来10年势头仍将延续
过去10年移动游戏大规
Pokemon GO升级后调整玩法 将看不到口袋妖怪足迹
Pokemon GO升级后调整
AppAnnie移动应用趋势预测:手游电竞需求将增长
AppAnnie移动应用趋势
企业风采
乐逗游戏亮相GDC 推动全球游戏产业发展
乐逗游戏亮相GDC
第七大道七年纪:创始人曹凯感恩回馈离职老员工
曹凯感恩回馈离职员工
游族网络陈礼标:立足精品原创 布局全球市场
关于40407 | 友情链接 | 广告服务 | 联系我们 | 网站导航 | 网站招聘
网站备案:粤ICP备12030115号-9 网络文化经营许可证编号:粤网文[2012]0525-076号
深圳尚米网络技术有限公司 版权所有 地址:深圳市南山区科技园北区清华信息港科研楼610室 电话:0755-27821881
Copyright © 2009-2014 www.40407.com