下载客户端
下载客户端
关于我们 寻求报道 加入我们
产品 2015-11-03 10:43

又一影响过亿的安全问题,百度 SDK 留有后门?

全家桶事件之后,百度一款 Android 开发工具又曝出安全问题。

根据 PCWorld 的报道显示,一个名为 Moplus 的 Android 开发软件曝出安全问题,攻击者可以使用百度的这款软件开发工具包,通过类似后门的方式访问普通用户的设备。

报道称,有超过 1.4 万款应用整合了 Moplus 这款开发工具,这其中大概有 4000 万款应用由百度自行开发,覆盖用户数过亿。

先来看看攻击方式是怎样的?

一家名为 Trend Micro 的机构发现了这个问题。

首先 Moplus SDK 会在安装有受影响应用的设备上开启一个 HTTP 服务器,服务器并不存在认证措施,它可以接受来自互联网的任意请求。

接下来就是,攻击者通过这一隐藏的 HTTP 服务器发送请求,攻击者可以执行安装有这一 SDK 的预设指令,其中包括:提取地理位置,查看敏感信息,添加联系人,上传文件,拨打电话甚至安装应用。

Trend Micro 提及,在已经 root 的设备上,SDK 允许应用静默安装。

实际上,专家认为这次安全问题的严重程度已经超出了 Stagefright 漏洞,Stagefright 漏洞需要攻击者向用户发送短信,当打开链接后才能进行攻击。

可以联想到更可怕的一种情况是,黑客可以通过扫描整个移动网络打开特定的 Moplus HTTP 地址的方式实施攻击。

百度官方是如何处理的?

有趣的是,之前刚刚有爱范儿的网友质疑全家桶漏洞就是百度方面留的后门,今天就曝出了百度软件开发工具的“后门漏洞”,看看百度方面是怎么解释的。

在发现这个问题后,发现者已经向百度以及 Google 两家公司通知了这个安全问题的存在。

百度相关人士回应称,百度已经更新了新版本的开发工具,已经不存在安全问题,在百度的软件工具中,不会存在后门。

新版本的百度手机软件中,公司将会删除一些不活跃代码。

解决的办法是?

报告称,一些受影响的应用甚至还存在于 Google Play 商店中。

开发者需要获取最新的无后门的 SDK 工具,而作为用户解决的办法只能是等待使用这款 SDK 的第三方开发者更新应用,然后用户再获取更新。

 

题图来自:站酷海洛创意

有好的产品或者项目希望我们报道,猛戳这里 寻求报道

文章评论(-)
后参与讨论
正在加载中

把平板当成手表戴是一种怎样的体验?

2015-11-03 10:47下一篇

Facebook 开发的这个新 app,想跟你聊聊照片的事儿

2015-11-03 10:18上一篇