又一影响过亿的安全问题,百度 SDK 留有后门?
全家桶事件之后,百度一款 Android 开发工具又曝出安全问题。
根据 PCWorld 的报道显示,一个名为 Moplus 的 Android 开发软件曝出安全问题,攻击者可以使用百度的这款软件开发工具包,通过类似后门的方式访问普通用户的设备。
报道称,有超过 1.4 万款应用整合了 Moplus 这款开发工具,这其中大概有 4000 万款应用由百度自行开发,覆盖用户数过亿。
先来看看攻击方式是怎样的?
一家名为 Trend Micro 的机构发现了这个问题。
首先 Moplus SDK 会在安装有受影响应用的设备上开启一个 HTTP 服务器,服务器并不存在认证措施,它可以接受来自互联网的任意请求。
接下来就是,攻击者通过这一隐藏的 HTTP 服务器发送请求,攻击者可以执行安装有这一 SDK 的预设指令,其中包括:提取地理位置,查看敏感信息,添加联系人,上传文件,拨打电话甚至安装应用。
Trend Micro 提及,在已经 root 的设备上,SDK 允许应用静默安装。
实际上,专家认为这次安全问题的严重程度已经超出了 Stagefright 漏洞,Stagefright 漏洞需要攻击者向用户发送短信,当打开链接后才能进行攻击。
可以联想到更可怕的一种情况是,黑客可以通过扫描整个移动网络打开特定的 Moplus HTTP 地址的方式实施攻击。
百度官方是如何处理的?
有趣的是,之前刚刚有爱范儿的网友质疑全家桶漏洞就是百度方面留的后门,今天就曝出了百度软件开发工具的“后门漏洞”,看看百度方面是怎么解释的。
在发现这个问题后,发现者已经向百度以及 Google 两家公司通知了这个安全问题的存在。
百度相关人士回应称,百度已经更新了新版本的开发工具,已经不存在安全问题,在百度的软件工具中,不会存在后门。
新版本的百度手机软件中,公司将会删除一些不活跃代码。
解决的办法是?
报告称,一些受影响的应用甚至还存在于 Google Play 商店中。
开发者需要获取最新的无后门的 SDK 工具,而作为用户解决的办法只能是等待使用这款 SDK 的第三方开发者更新应用,然后用户再获取更新。
题图来自:站酷海洛创意