• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

又一影响过亿的安全问题,百度 SDK 留有后门?

产品

2015-11-03 10:43

全家桶事件之后,百度一款 Android 开发工具又曝出安全问题。

根据 PCWorld 的报道显示,一个名为 Moplus 的 Android 开发软件曝出安全问题,攻击者可以使用百度的这款软件开发工具包,通过类似后门的方式访问普通用户的设备。

报道称,有超过 1.4 万款应用整合了 Moplus 这款开发工具,这其中大概有 4000 万款应用由百度自行开发,覆盖用户数过亿。

先来看看攻击方式是怎样的?

一家名为 Trend Micro 的机构发现了这个问题。

首先 Moplus SDK 会在安装有受影响应用的设备上开启一个 HTTP 服务器,服务器并不存在认证措施,它可以接受来自互联网的任意请求。

接下来就是,攻击者通过这一隐藏的 HTTP 服务器发送请求,攻击者可以执行安装有这一 SDK 的预设指令,其中包括:提取地理位置,查看敏感信息,添加联系人,上传文件,拨打电话甚至安装应用。

Trend Micro 提及,在已经 root 的设备上,SDK 允许应用静默安装。

实际上,专家认为这次安全问题的严重程度已经超出了 Stagefright 漏洞,Stagefright 漏洞需要攻击者向用户发送短信,当打开链接后才能进行攻击。

可以联想到更可怕的一种情况是,黑客可以通过扫描整个移动网络打开特定的 Moplus HTTP 地址的方式实施攻击。

百度官方是如何处理的?

有趣的是,之前刚刚有爱范儿的网友质疑全家桶漏洞就是百度方面留的后门,今天就曝出了百度软件开发工具的 “后门漏洞”,看看百度方面是怎么解释的。

在发现这个问题后,发现者已经向百度以及 Google 两家公司通知了这个安全问题的存在。

百度相关人士回应称,百度已经更新了新版本的开发工具,已经不存在安全问题,在百度的软件工具中,不会存在后门。

新版本的百度手机软件中,公司将会删除一些不活跃代码。

解决的办法是?

报告称,一些受影响的应用甚至还存在于 Google Play 商店中。

开发者需要获取最新的无后门的 SDK 工具,而作为用户解决的办法只能是等待使用这款 SDK 的第三方开发者更新应用,然后用户再获取更新。

 

题图来自:站酷海洛创意

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中