10
| 本文作者: 訾竣喆 | 2015-11-03 18:32 |
一個由百度提供的軟件開發包被曝其中內含后門,攻擊者可以輕易利用這一后門侵入用戶的Android移動設備。而更為嚴重的是,這一軟件開發包已經被集成在了數千款的Android應用之中。
趨勢科技(Trend Micro)的信息安全研究人員在周一表示,該軟件開發包(SDK)名為Moplus。雖然它并不向公眾開放,但是它已經被集成在了1萬4千余款應用程序之中,其中只有約4000余款是由百度開發的。預計,受影響的應用正在被超過1億的用戶使用中。
據趨勢科技的分析,Moplus SDK開發的程序能夠在設備上開啟HTTP服務器,而這一服務器并不需要任何的認證,會無差別接受任何人在互聯網上任何請求。
而更糟糕的是,通過向這一隱藏的HTTP服務器發送請求,攻擊者能夠執行SDK中預先設定的任何命令。也就是說,攻擊者可以獲得如位置信息、搜索記錄等隱私信息,并能夠添加新的聯系人、上傳文件、撥打電話、顯示虛假消息,以及安裝應用等危險操作。
在已經被root的Android設備上,Moplus SDK將能夠允許應用程序靜默安裝。這也就意味著,設備將不需要用戶的確認即可在后臺安裝任何應用。目前,趨勢科技的研究人員已經發現了有一種專門利用這一后門安裝垃圾應用的蠕蟲病毒,這一惡意軟件名為ANDROIDOS_WORMHOLE.HRXA。
趨勢科技的研究人員認為,從各種層面上說,Moplus的后門都要比今年早些時候在Android Stagefright庫中所發現的漏洞更為嚴重。因為如果攻擊者想要利用Stagefright庫漏洞,那么他至少需要將惡意的多媒體消息發送到用戶手機中,或是用某種方式來誘騙用戶打開惡意鏈接。而如果是Moplus漏洞的話,那么攻擊者完全不用這么大費周章,直接掃描整個移動網絡,尋找到具有特定Moplus HTTP服務器的設備端口,打開互聯網協議地址就足夠了。
趨勢科技已經將這個安全問題通知了谷歌和百度。百度目前也發布了新版的SDK,新版的SDK中已經去掉了一些命令。但趨勢科技仍表示,HTTP服務器目前依然被打開著,其中的一些功能仍然可以被濫用。
百度一名發言人通過電子郵件說,百度已經修復了10月30日報告中所涉及的所有安全漏洞。原文寫道:“趨勢科技最新的報告中提及的可能存在問題的代碼已經被修復,我們的解決方法是將這些代碼直接定義為無效代碼。”
這名發言人還在文中補充說,百度的這個軟件開發包并沒有所謂的“后門”。并且在下一個版本中,這些沒有被激活代碼將會因“比較明顯的緣故”而被去除。
然而,目前的問題其實是在于使用了Moplus的第三方的開發者能夠在多短的時間內用這個新版的SDK去更新自己的應用。因為在趨勢科技列出的前20大受影響應用中包括許多非百度開發的應用,并且其中的一些應用仍在Google Play中提供。
Via pcworld
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
