百度安卓开发工具被指含“后门” 攻击者可获取敏感信息

11月3日消息,据国外媒体报道,攻击者可以利用百度的一款软件开发工具包(SDK),通过类似后门的方式访问普通用户的设备。市面上有上万款安卓应用使用百度的这一开发套件。网络安全公司Trend Micro的研究人员周日表示,虽然普通用户并不直接接触百度这一名为“Moplus”的开发工具,但有超过1.4万款应用整合了该工具。在这些应用中,只有大约4000款应用由百度自行开发。

Trend Micro估计,有超过1亿用户在使用这些受影响的应用。

根据Trend Micro的分析,若安装了受影响的应用,Moplus工具包便会在设备上架设一HTTP服务器;该服务器没有任何认证措施,而且可以接受来自互联网的任意请求。

更糟的是,通过向这一隐藏的HTTP服务器发送请求,攻击者可以执行那些部署在这一SDK中的预定义指令。这些指令可被用来提取诸如地理位置、查询请求等敏感信息,还可以添加新联系人、上传文件、拨打电话、显示伪造短信并安装应用。

在已经“root”的设备上,该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。Trend Micro的研究人员已经发现了一款利用该后门肆意安装应用的蠕虫。这一恶意软件被确定为ANDROIDOS_WORMHOLE.HRXA。

Trend Micro的研究人员认为,从很多方面看,Moplus开发套件上存在的安全问题,其严重程度要远超今年早些时候在安卓“Stagefright”库中发现的漏洞。理由是攻击者在利用后者的漏洞时,至少要先向用户手机发送恶意彩信,或哄骗他们打开恶意网站链接。

而利用Moplus漏洞,攻击者只需扫描手机网络上那些开启了Moplus HTTP服务器端口的IP地址。

Trend Micro已向百度和谷歌报告了这一安全问题。

Trend Micro的研究人员称,虽然百度在新版SDK中删除了一些指令,但HTTP服务器仍然开放,而且一些功能仍有可能被滥用。

百度代表在邮件中表示:“截至10月30日,百度已修复了所有报告给公司的安全问题。Trend Micro最新文章中所称有问题的剩余代码,实际上是修复后的废弃代码,不会有任何影响。”

该代表称不存在任何“后门”。此人还补充称,上述废弃代码会在下一次更新中删除,“以示澄清”。

然而,考虑到所有第三方开发者更新SDK所需要的时间,这一安全问题目前依旧存在。在Trend Micro列出的影响最大的20款应用中,就有来自第三方开发者的产品,其中的一些目前仍在Google Play网店中。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。