10
| 本文作者:訾竣喆 | 2015-11-03 18:32 |
一个由百度提供的软件开发包被曝其中内含后门,攻击者可以轻易利用这一后门侵入用户的Android移动设备。而更为严重的是,这一软件开发包已经被集成在了数千款的Android应用之中。
趋势科技(Trend Micro)的信息安全研究人员在周一表示,该软件开发包(SDK)名为Moplus。虽然它并不向公众开放,但是它已经被集成在了1万4千余款应用程序之中,其中只有约4000余款是由百度开发的。预计,受影响的应用正在被超过1亿的用户使用中。
据趋势科技的分析,Moplus SDK开发的程序能够在设备上开启HTTP服务器,而这一服务器并不需要任何的认证,会无差别接受任何人在互联网上任何请求。
而更糟糕的是,通过向这一隐藏的HTTP服务器发送请求,攻击者能够执行SDK中预先设定的任何命令。也就是说,攻击者可以获得如位置信息、搜索记录等隐私信息,并能够添加新的联系人、上传文件、拨打电话、显示虚假消息,以及安装应用等危险操作。
在已经被root的Android设备上,Moplus SDK将能够允许应用程序静默安装。这也就意味着,设备将不需要用户的确认即可在后台安装任何应用。目前,趋势科技的研究人员已经发现了有一种专门利用这一后门安装垃圾应用的蠕虫病毒,这一恶意软件名为ANDROIDOS_WORMHOLE.HRXA。
趋势科技的研究人员认为,从各种层面上说,Moplus的后门都要比今年早些时候在Android Stagefright库中所发现的漏洞更为严重。因为如果攻击者想要利用Stagefright库漏洞,那么他至少需要将恶意的多媒体消息发送到用户手机中,或是用某种方式来诱骗用户打开恶意链接。而如果是Moplus漏洞的话,那么攻击者完全不用这么大费周章,直接扫描整个移动网络,寻找到具有特定Moplus HTTP服务器的设备端口,打开互联网协议地址就足够了。
趋势科技已经将这个安全问题通知了谷歌和百度。百度目前也发布了新版的SDK,新版的SDK中已经去掉了一些命令。但趋势科技仍表示,HTTP服务器目前依然被打开着,其中的一些功能仍然可以被滥用。
百度一名发言人通过电子邮件说,百度已经修复了10月30日报告中所涉及的所有安全漏洞。原文写道:“趋势科技最新的报告中提及的可能存在问题的代码已经被修复,我们的解决方法是将这些代码直接定义为无效代码。”
这名发言人还在文中补充说,百度的这个软件开发包并没有所谓的“后门”。并且在下一个版本中,这些没有被激活代码将会因“比较明显的缘故”而被去除。
然而,目前的问题其实是在于使用了Moplus的第三方的开发者能够在多短的时间内用这个新版的SDK去更新自己的应用。因为在趋势科技列出的前20大受影响应用中包括许多非百度开发的应用,并且其中的一些应用仍在Google Play中提供。
Via pcworld
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
