11月3日消息,据国外媒体报道,攻击者可以利用百度的一款软件开发工具包(SDK),通过类似后门的方式访问普通用户的设备。市面上有上万款安卓应用使用百度的这一开发套件。
网络安全公司Trend Micro的研究人员周日表示,虽然普通用户并不直接接触百度这一名为“Moplus”的开发工具,但有超过1.4万款应用整合了该工具。在这些应用中,只有大约4000款应用由百度自行开发。
Trend Micro估计,有超过1亿用户在使用这些受影响的应用。
根据Trend Micro的分析,若安装了受影响的应用,Moplus工具包便会在设备上架设一HTTP服务器;该服务器没有任何认证措施,而且可以接受来自互联网的任意请求。
更糟的是,通过向这一隐藏的HTTP服务器发送请求,攻击者可以执行那些部署在这一SDK中的预定义指令。这些指令可被用来提取诸如地理位置、查询请求等敏感信息,还可以添加新联系人、上传文件、拨打电话、显示伪造短信并安装应用。
在已经“root”的设备上,该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。Trend Micro的研究人员已经发现了一款利用该后门肆意安装应用的蠕虫。这一恶意软件被确定为ANDROIDOS_WORMHOLE.HRXA。
Trend Micro的研究人员认为,从很多方面看,Moplus开发套件上存在的安全问题,其严重程度要远超今年早些时候在安卓“Stagefright”库中发现的漏洞。理由是攻击者在利用后者的漏洞时,至少要先向用户手机发送恶意彩信,或哄骗他们打开恶意网站链接。
而利用Moplus漏洞,攻击者只需扫描手机网络上那些开启了Moplus HTTP服务器端口的IP地址。
Trend Micro已向百度和谷歌报告了这一安全问题。
Trend Micro的研究人员称,虽然百度在新版SDK中删除了一些指令,但HTTP服务器仍然开放,而且一些功能仍有可能被滥用。
百度代表在邮件中表示:“截至10月30日,百度已修复了所有报告给公司的安全问题。Trend Micro最新文章中所称有问题的剩余代码,实际上是修复后的废弃代码,不会有任何影响。”
该代表称不存在任何“后门”。此人还补充称,上述废弃代码会在下一次更新中删除,“以示澄清”。
然而,考虑到所有第三方开发者更新SDK所需要的时间,这一安全问题目前依旧存在。在Trend Micro列出的影响最大的20款应用中,就有来自第三方开发者的产品,其中的一些目前仍在Google Play网店中。(维尼)