又一影响过亿的安全问题，百度 SDK 留有后门？

全家桶事件之后，百度一款 Android 开发工具又曝出安全问题。

根据 PCWorld 的报道显示，一个名为 Moplus 的 Android 开发软件曝出安全问题，攻击者可以使用百度的这款软件开发工具包，通过类似后门的方式访问普通用户的设备。

报道称，有超过 1.4 万款应用整合了 Moplus 这款开发工具，这其中大概有 4000 万款应用由百度自行开发，覆盖用户数过亿。

先来看看攻击方式是怎样的？

一家名为 Trend Micro 的机构发现了这个问题。

首先 Moplus SDK 会在安装有受影响应用的设备上开启一个 HTTP 服务器，服务器并不存在认证措施，它可以接受来自互联网的任意请求。

接下来就是，攻击者通过这一隐藏的 HTTP 服务器发送请求，攻击者可以执行安装有这一 SDK 的预设指令，其中包括：提取地理位置，查看敏感信息，添加联系人，上传文件，拨打电话甚至安装应用。

Trend Micro 提及，在已经 root 的设备上，SDK 允许应用静默安装。

实际上，专家认为这次安全问题的严重程度已经超出了 Stagefright 漏洞，Stagefright 漏洞需要攻击者向用户发送短信，当打开链接后才能进行攻击。

可以联想到更可怕的一种情况是，黑客可以通过扫描整个移动网络打开特定的 Moplus HTTP 地址的方式实施攻击。

百度官方是如何处理的？

有趣的是，之前刚刚有爱范儿的网友质疑全家桶漏洞就是百度方面留的后门，今天就曝出了百度软件开发工具的 “后门漏洞”，看看百度方面是怎么解释的。

在发现这个问题后，发现者已经向百度以及 Google 两家公司通知了这个安全问题的存在。

百度相关人士回应称，百度已经更新了新版本的开发工具，已经不存在安全问题，在百度的软件工具中，不会存在后门。

新版本的百度手机软件中，公司将会删除一些不活跃代码。

解决的办法是？

报告称，一些受影响的应用甚至还存在于 Google Play 商店中。

开发者需要获取最新的无后门的 SDK 工具，而作为用户解决的办法只能是等待使用这款 SDK 的第三方开发者更新应用，然后用户再获取更新。