前有XcodeGhost事件讓蘋果手機(jī)用戶陷入了被“透明”的尷尬境地，事實(shí)證明，遭殃的不僅僅是蘋果和他的手機(jī)用戶，這一次輪到了百度！

據(jù)科技網(wǎng)站PCWorld報(bào)道，由百度開發(fā)的一款SDK(軟件開發(fā)工具包)包含有一項(xiàng)特性，能使黑客以后門方式訪問用戶設(shè)備。數(shù)以千計(jì)的Android應(yīng)用利用了百度的這款SDK。

安全廠商趨勢(Trend Micro)研究人員周日發(fā)表博文稱，這款SDK名為Moplus，盡管它不向公眾開放，但被整合在逾1.4萬款應(yīng)用中，其中約4000款是由百度開發(fā)的。趨勢估計(jì)，受影響應(yīng)用的用戶總數(shù)超過1億。

趨勢的分析報(bào)告稱，Moplus SDK會在安裝有受影響應(yīng)用的設(shè)備上開啟一個(gè)HTTP服務(wù)器，它不使用任何認(rèn)證技術(shù)，接受來自互聯(lián)網(wǎng)上任意設(shè)備的請求。

更糟糕的是，通過向這一隱藏的HTTP服務(wù)器發(fā)送請求，黑客可以執(zhí)行在SDK中實(shí)現(xiàn)的預(yù)先定義的命令。這些命令可以用來提取位置數(shù)據(jù)和搜索關(guān)鍵字等敏感信息，以及增加新聯(lián)系人、上傳文件、打電話、顯示虛假信息、安裝應(yīng)用。

在越獄的設(shè)備上，這款SDK允許靜默安裝應(yīng)用，這意味著用戶不會收到提示信息。事實(shí)上，趨勢研究人員已經(jīng)發(fā)現(xiàn)一款利用該漏洞安裝用戶不需要應(yīng)用的蠕蟲病毒——ANDROIDOS_WORMHOLE.HRXA。

趨勢研究人員認(rèn)為，在許多方面，Moplus缺陷比今年早些時(shí)候在Android Stagefright庫中發(fā)現(xiàn)的一處缺陷更糟糕，因?yàn)楹笳咧辽僖蠛诳拖蛴脩舭l(fā)送惡意彩信，或誘惑用戶打開惡意鏈接。

研究人員稱，為了利用該Moplus缺陷，黑客只需掃描整個(gè)移動(dòng)網(wǎng)絡(luò)，發(fā)現(xiàn)打開特定Moplus HTTP服務(wù)器端口的IP地址。

趨勢已經(jīng)向百度和谷歌通報(bào)了這一安全問題。

趨勢安全研究人員稱，百度已經(jīng)發(fā)布了新版SDK，刪除了部分命令，但它仍然開啟HTTP服務(wù)器，部分功能仍然會被黑客濫用。

百度研究人員通過一封電子郵件稱，該公司已經(jīng)修復(fù)了10月30日前報(bào)告的所有安全缺陷，這款SDK中不存在“后門”，在新版SDK中，不活躍代碼將被去除。

但是，問題在于使用這款SDK的第三方開發(fā)者更新他們應(yīng)用的速度。趨勢列出的20款受影響最大的應(yīng)用包括第三方開發(fā)的應(yīng)用，部分還沒有從Google Play下架。