一個(gè)由百度提供的軟件開(kāi)發(fā)包被曝其中內(nèi)含后門(mén)，攻擊者可以輕易利用這一后門(mén)侵入用戶的Android移動(dòng)設(shè)備。而更為嚴(yán)重的是，這一軟件開(kāi)發(fā)包已經(jīng)被集成在了數(shù)千款的Android應(yīng)用之中。

趨勢(shì)科技（Trend Micro）的信息安全研究人員在周一表示，該軟件開(kāi)發(fā)包（SDK）名為Moplus。雖然它并不向公眾開(kāi)放，但是它已經(jīng)被集成在了1萬(wàn)4千余款應(yīng)用程序之中，其中只有約4000余款是由百度開(kāi)發(fā)的。預(yù)計(jì)，受影響的應(yīng)用正在被超過(guò)1億的用戶使用中。

據(jù)趨勢(shì)科技的分析，Moplus SDK開(kāi)發(fā)的程序能夠在設(shè)備上開(kāi)啟HTTP服務(wù)器，而這一服務(wù)器并不需要任何的認(rèn)證，會(huì)無(wú)差別接受任何人在互聯(lián)網(wǎng)上任何請(qǐng)求。

而更糟糕的是，通過(guò)向這一隱藏的HTTP服務(wù)器發(fā)送請(qǐng)求，攻擊者能夠執(zhí)行SDK中預(yù)先設(shè)定的任何命令。也就是說(shuō)，攻擊者可以獲得如位置信息、搜索記錄等隱私信息，并能夠添加新的聯(lián)系人、上傳文件、撥打電話、顯示虛假消息，以及安裝應(yīng)用等危險(xiǎn)操作。

在已經(jīng)被root的Android設(shè)備上，Moplus SDK將能夠允許應(yīng)用程序靜默安裝。這也就意味著，設(shè)備將不需要用戶的確認(rèn)即可在后臺(tái)安裝任何應(yīng)用。目前，趨勢(shì)科技的研究人員已經(jīng)發(fā)現(xiàn)了有一種專門(mén)利用這一后門(mén)安裝垃圾應(yīng)用的蠕蟲(chóng)病毒，這一惡意軟件名為ANDROIDOS_WORMHOLE.HRXA。

趨勢(shì)科技的研究人員認(rèn)為，從各種層面上說(shuō)，Moplus的后門(mén)都要比今年早些時(shí)候在Android Stagefright庫(kù)中所發(fā)現(xiàn)的漏洞更為嚴(yán)重。因?yàn)槿绻粽呦胍肧tagefright庫(kù)漏洞，那么他至少需要將惡意的多媒體消息發(fā)送到用戶手機(jī)中，或是用某種方式來(lái)誘騙用戶打開(kāi)惡意鏈接。而如果是Moplus漏洞的話，那么攻擊者完全不用這么大費(fèi)周章，直接掃描整個(gè)移動(dòng)網(wǎng)絡(luò)，尋找到具有特定Moplus HTTP服務(wù)器的設(shè)備端口，打開(kāi)互聯(lián)網(wǎng)協(xié)議地址就足夠了。

趨勢(shì)科技已經(jīng)將這個(gè)安全問(wèn)題通知了谷歌和百度。百度目前也發(fā)布了新版的SDK，新版的SDK中已經(jīng)去掉了一些命令。但趨勢(shì)科技仍表示，HTTP服務(wù)器目前依然被打開(kāi)著，其中的一些功能仍然可以被濫用。

百度一名發(fā)言人通過(guò)電子郵件說(shuō)，百度已經(jīng)修復(fù)了10月30日?qǐng)?bào)告中所涉及的所有安全漏洞。原文寫(xiě)道：“趨勢(shì)科技最新的報(bào)告中提及的可能存在問(wèn)題的代碼已經(jīng)被修復(fù)，我們的解決方法是將這些代碼直接定義為無(wú)效代碼?！?/p>

這名發(fā)言人還在文中補(bǔ)充說(shuō)，百度的這個(gè)軟件開(kāi)發(fā)包并沒(méi)有所謂的“后門(mén)”。并且在下一個(gè)版本中，這些沒(méi)有被激活代碼將會(huì)因“比較明顯的緣故”而被去除。

然而，目前的問(wèn)題其實(shí)是在于使用了Moplus的第三方的開(kāi)發(fā)者能夠在多短的時(shí)間內(nèi)用這個(gè)新版的SDK去更新自己的應(yīng)用。因?yàn)樵谮厔?shì)科技列出的前20大受影響應(yīng)用中包括許多非百度開(kāi)發(fā)的應(yīng)用，并且其中的一些應(yīng)用仍在Google Play中提供。

Via pcworld

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。