一個由百度提供的軟件開發(fā)包被曝其中內(nèi)含后門，攻擊者可以輕易利用這一后門侵入用戶的Android移動設(shè)備。而更為嚴(yán)重的是，這一軟件開發(fā)包已經(jīng)被集成在了數(shù)千款的Android應(yīng)用之中。

趨勢科技（Trend Micro）的信息安全研究人員在周一表示，該軟件開發(fā)包（SDK）名為Moplus。雖然它并不向公眾開放，但是它已經(jīng)被集成在了1萬4千余款應(yīng)用程序之中，其中只有約4000余款是由百度開發(fā)的。預(yù)計，受影響的應(yīng)用正在被超過1億的用戶使用中。

據(jù)趨勢科技的分析，Moplus SDK開發(fā)的程序能夠在設(shè)備上開啟HTTP服務(wù)器，而這一服務(wù)器并不需要任何的認(rèn)證，會無差別接受任何人在互聯(lián)網(wǎng)上任何請求。

而更糟糕的是，通過向這一隱藏的HTTP服務(wù)器發(fā)送請求，攻擊者能夠執(zhí)行SDK中預(yù)先設(shè)定的任何命令。也就是說，攻擊者可以獲得如位置信息、搜索記錄等隱私信息，并能夠添加新的聯(lián)系人、上傳文件、撥打電話、顯示虛假消息，以及安裝應(yīng)用等危險操作。

在已經(jīng)被root的Android設(shè)備上，Moplus SDK將能夠允許應(yīng)用程序靜默安裝。這也就意味著，設(shè)備將不需要用戶的確認(rèn)即可在后臺安裝任何應(yīng)用。目前，趨勢科技的研究人員已經(jīng)發(fā)現(xiàn)了有一種專門利用這一后門安裝垃圾應(yīng)用的蠕蟲病毒，這一惡意軟件名為ANDROIDOS_WORMHOLE.HRXA。

趨勢科技的研究人員認(rèn)為，從各種層面上說，Moplus的后門都要比今年早些時候在Android Stagefright庫中所發(fā)現(xiàn)的漏洞更為嚴(yán)重。因為如果攻擊者想要利用Stagefright庫漏洞，那么他至少需要將惡意的多媒體消息發(fā)送到用戶手機(jī)中，或是用某種方式來誘騙用戶打開惡意鏈接。而如果是Moplus漏洞的話，那么攻擊者完全不用這么大費周章，直接掃描整個移動網(wǎng)絡(luò)，尋找到具有特定Moplus HTTP服務(wù)器的設(shè)備端口，打開互聯(lián)網(wǎng)協(xié)議地址就足夠了。

趨勢科技已經(jīng)將這個安全問題通知了谷歌和百度。百度目前也發(fā)布了新版的SDK，新版的SDK中已經(jīng)去掉了一些命令。但趨勢科技仍表示，HTTP服務(wù)器目前依然被打開著，其中的一些功能仍然可以被濫用。

百度一名發(fā)言人通過電子郵件說，百度已經(jīng)修復(fù)了10月30日報告中所涉及的所有安全漏洞。原文寫道：“趨勢科技最新的報告中提及的可能存在問題的代碼已經(jīng)被修復(fù)，我們的解決方法是將這些代碼直接定義為無效代碼?！?/p>

這名發(fā)言人還在文中補(bǔ)充說，百度的這個軟件開發(fā)包并沒有所謂的“后門”。并且在下一個版本中，這些沒有被激活代碼將會因“比較明顯的緣故”而被去除。

然而，目前的問題其實是在于使用了Moplus的第三方的開發(fā)者能夠在多短的時間內(nèi)用這個新版的SDK去更新自己的應(yīng)用。因為在趨勢科技列出的前20大受影響應(yīng)用中包括許多非百度開發(fā)的應(yīng)用，并且其中的一些應(yīng)用仍在Google Play中提供。

Via pcworld

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。