当前位置>>详情百度Android开发工具存在后门 便于黑客入侵
百度提供的一个软件开发包(SDK)被曝光存在后门，而黑客可以利用这一后门入侵用户的设备。这一SDK被用在了数千款Android应用中。趋势科技的信息安全研究人员周二表示，这一SDK名为Moplus。尽管没有公开发布，但这一SDK被集成至超过1.4万个应用，其中只有约4000个应用为百度开发。趋势科技估计，受影响的应用被超过1亿用户使用。根据该公司的分析，Moplus SDK在用户设备上启动了HTTP服务器。这一服务器没有使用任何验证机制，会接受互联网上任何人的请求。&更糟糕的是，通过向这一隐藏的HTTP服务器发送请求，攻击者可以执行SDK中预定义的命令。这意味着攻击者可以获得位置数据和搜索关键词等敏感信息，并执行新增联系人、上传文件、拨打电话、显示伪造消息，以及安装应用等操作。在被root的Android设备上，这一SDK允许应用的静默安装。这意味着，用户在没有看到任何确认消息的情况下，应用就可能被安装至设备。实际上，趋势科技的研究人员已经发现了一种蠕虫病毒，利用这一后门安装用户不需要的应用。这一恶意软件名为ANDROIDOS_WORMHOLE.HRXA。趋势科技表示，从多个方面来看，Moplus缺陷都要比今年早些时候Android Stagefright库中发现的缺陷更严重。利用后一缺陷，攻击者至少需要向用户手机发送恶意的多媒体消息，或是欺骗用户打开恶意链接。而如果希望利用 Moplus缺陷，那么攻击者可以扫描整个移动互联网，寻找Moplus HTTP服务器开启的IP地址。百度已经发布了新版SDK，删除了一些命令。但趋势科技表示，HTTP服务器目前仍会开启，而一些功能仍可能被滥用。百度一名发言人表示，百度已修复了10月30日报告给该公司的所有信息安全缺陷。“关于趋势科技最新报告的可能存在问题的其余代码，在我们的修复之后已成为无用代码，不会产生影响。”这名发言人表示，百度没有提供“后门”。而在该公司的下一版应用中，这些未激活代码将会被删除。不过目前的问题在于，第三方开发者将会在多长时间内用最新SDK去升级自己的应用。趋势科技列出的前20大受影响应用中包括非百度开发的应用，而其中有一些仍在谷歌Play中提供下载。
上一篇：下一篇：相关文章
热门游戏推荐1角色扮演2角色扮演3角色扮演4角色扮演5角色扮演6角色扮演7角色扮演8战争策略9角色扮演10角色扮演热门资讯··········
最新入库游戏
||||||||||鄂ICP备号-1
粤湛网安备9号
增值电信业务经营许可证:粤B2- Copyright (C) YX网页游戏 Powered By YyouXing Network
ript")[0];
s.parentNode.insertBefore(hm, s);百度moplus事件背后的几点思考
<meta name="description" content="百度moplus事件背后的几点思考,百度moplus事件背后的几点思考">
百度moplus事件背后的几点思考
&&& 前两天微信朋友圈被趋势科技报百度安卓后门的帖子刷屏了，各类公关稿队形之整齐，队伍之庞大，声势之浩大，在公众目光里绝不输给上次xcodeghost事件。虽说发生一个波及面较大(app数量和应用数量)以及危害较高的漏洞值得注意，然而这次由于发生在一家具有行业影响力的巨头企业身上，一系列后门说、流氓说、阴谋说就全来了。要知道曾经的心脏流血给全球互联网带来了巨大影响后，openSSL换来的可是老罗的捐赠和极客圈的同情。
&&& 作为一个安全圈的专业混子，我个人的观点是――百度SDK的漏洞是一件悲剧，如果就这么认为它是后门或是阴谋的话，那会是另一个悲剧。这就好比出轨是一件悲剧，如果你因此就不相信爱情的话，那你是另一个悲剧。
&&& 先说一下百度moplus是个什么东西。moplus是一套安卓的SDK，它的作用是让移动应用通过这个SDK，曾经用户的交互体验。比如用户需要定位一个位置，或是在应用内发现一个商户，需要快速添加到通讯录或是拨打电话，通过这个SDK就可以快速达成。同类的SDK有比如个推(实现消息推送)或是环信(应用内即时通讯)等。SDK本身是一个中立的词汇，不属于后门。
&&& 为什么会被人认为是后门呢?几个帖子里的主要论点是：
&&& 1.内置HTTP服务器。
&&& 2.接口功能过于强大，以至于被恶意利用后可以操作的事情过多。
&&& 首先说一下内置HTTP服务器，这东西在安卓其实挺常见，并没有违反任何条例，这样干的app本身或是第三方插件多了去了，所以内置HTTP服务器本身并没有太大问题，记得7月份乌云也有过一个百度SDK漏洞就描述过百度有一个SDK是开7777端口的，直到上个月底被公开，也没有太大的反响，因为危害并不高，而且很快就修复了。
&&& 那么最主要的问题就是接口过于强大，导致一旦有了安全问题后可被利用的功能过强，恶意利用者可以造成巨大的损害。这就好比你负责看守一些很重要的财物的时候，一旦这些财物被打劫了，你就有很容易被认为是里应外合。
&&& moplus比较重要的接口有哪些呢?我例举一下备受争议的几条：
&&& 添加通讯录功能：addcontactinfo
&&& 用户通过搜索结果搜索出一个商户信息，在搜索结果页中可以显示这个商户的联系方式，通过搜索结果页可以快速的添加商户电话号码到通讯录。
&&& 这个功能应该算是一个合理的功能，被恶意利用的话有一定的危害但是还不至于造成损失。
&&& 获取用户安装列表：getapplist
&&& 用户通过搜索结果搜索出一个视频，在搜索结果页中需要获得用户安装的视频软件信息，当用户点击视频检索时可以使用指定的视频播放器打开这个视频。
&&& 这个东西是最受争议的，因为如果往恶意来说的话，可以说在收集你所下载了哪些应用的数据，牵涉到隐私。但是对用户来说损害是较小的，可以带来很多方便。这一点仁者见仁智者见智。
&&& 获取用户的地理位置信息：geolocation
&&& 用户通过搜索结果页搜索美食，电影等，在搜索结果页中需要获取用户的位置属性，根据用户的属性把用户周边的美食，电影展现在搜索结果页中。
&&& 这一点也是被攻击的较多的，这个功能是很常见的，对于很多人来说也是必须的，我觉得大可不必被认为侵犯隐私，你使用打车或是其他O2O软件的时候也会显示当前位置的，真要被用来追杀或是催债你也没辙。
&&& 下载文件到指定目录：downloadfile
&&& 用户通过搜索结果页查找应用，找到对应的搜索结果，点击安装按钮，可以实现下载功能，下载完成后，如果用户的存在root权限，会自动静默安装，如果不存在root权限，会弹出系统安装界面安装
&&& 这个东西看起来是最重量级的，然而目前的结果来看，并未有人利用这一功能做出任何影响用户强装强卸软件的行为。
&&& 以上的接口功能在未爆出安全漏洞之前就一直存在，也没有被app投诉过侵犯隐私等，所以当SDK是默认安全可信的前提下，这些并不是恶意接口。然而由于舆论压力过大，百度还是下线了moplus。
&&& 有时候人们在不明真相的时候总是容易先入为主扣一个帽子，从而省去思考的成本，可是安全是一门艺术，更是一门科学，科学要的就是用严谨的逻辑去分析，论证，而不是人云亦云，长期下来企业就不得不用公关团队去压制漏洞而非从技术上正面去面对，在我看来，这才是最大的悲剧。
编 辑：王洪艳
余承东：华为荣耀已成为双品牌&未来将走独立品牌道路,6月30..
CCTIME推荐
CCTIME飞象网
CopyRight &
京ICP备号&& 京公网安备号
公司名称： 北京飞象互动文化传媒有限公司
未经书面许可，禁止转载、摘编、复制、镜像用微信扫我
影响上亿用户 百度开发工具被指存在“后门”
威锋客户端
用微信扫我
“全家桶事件”还没有平息，百度又被曝出在SDK中嵌入了后门。
美国科技新闻网站PCWorld最新的一篇报道指出，一家名为Trend Micro的安全机构发现，百度自行打造的SDK工具Moplus存在安全漏洞，给黑客留下了后门。
Trend Micro称，使用了Moplus的Android应用多达14112款，其中超过4000款由百度参与开发，涉及百度视频、百度地图、百度浏览器、百度搜索、百度云等多款用户数量过亿的App。也许那些从不曾在手机上安装过任何一款百度系应用的用户会暗自感到庆幸，以为自己逃过了“一劫”，但事情的真相是，除了百度自家的App，很多软件都整合了这一问题SDK，所以依然可能受到影响。
根据Trend Micro的分析，一旦用户启动一款相关应用，Moplus SDK便会自动在后台设立一个本地HTTP服务器，这个服务器对访问者又没有做严格的校验，导致攻击者可以绕过验证执行指令。接下来，他们就可以远程安装或启动任意应用、打开任意网页、添加新联系人、获取GPS地理位置信息、上传文件、拨打电话、显示伪造短信等。在已经“root”的设备上，该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。攻击者可以对任何有Moplus SDK应用的Android设备发动攻击，不受系统版本影响，即便用户升级到最新的Android 6.0上也无济于事。最可怕的地方在于，它甚至无需事先向用户手机发送短信，让他们打开恶意网站链接才能对设备发动攻击。只要对方手机处于联网状态，无论接入的是wifi无线网络或者3G/4G蜂窝网络，就可以实施攻击。
而在“后门事件”被外媒曝光的前几天，乌云平台刚刚发布报告称，百度旗下多款应用存在WormHole漏洞。这个漏洞的发现者是阿里研究院的一名工程师，他发现Android手机只要连接了网络，无论root与否都有被安装应用和远程控制的风险。当时就曾有网友怀疑这个“全家桶漏洞”是百度留下的后门。
不过，和网易一样，在发现问题之后，百度的态度也很强硬。它在邮件中表示，“已修复了所有报告给公司的安全问题。Trend Micro最新文章中所称有问题的剩余代码，实际上是修复后的废弃代码，不会有任何影响”，并强调自己的软件工具中绝不会存在后门。
然而，由于第三方开发者更新SDK需要时间，因此，目前在Google Play商店中仍然可以找到受这一事件影响的相关产品。
虽然百度表示软件升级到官方的最新版本即可解决问题，但对于已经中招的用户来说，如果这些软件还没有进行封堵漏洞的更新，唯一的解决办法就只剩下彻底卸载有关App。
锋观点二维码
微信订阅“锋观点”请搜索
公众号：weiphonegd
正在加载评论
威锋旗下产品
Hi~我是威威！
丨 沪ICP备号-1 丨 新三板上市公司威锋科技（836555）
增值电信业务经营许可证：
Powered by Discuz!百度Moplus漏洞已修复，手机安全知识亟待普及--百度百家
百度Moplus漏洞已修复，手机安全知识亟待普及
分享到微信朋友圈
作为一家负责人的上市企业，百度作为行业的标杆和龙头企业，再确认并修复MOplus漏洞后，还是将其下线。其所秉承的安全第一、用户至上的理念令人感到放心，这种对于潜在风险零容忍的态度和行事速度也令人较为认可。
近日，在手机安全领域，百度因为Moplus漏洞问题再次成为行业焦点。虽然百度方面已经第一时间确认并已修复mo + sdk漏洞，但是，由于事件后各“专业人士”处于竞争性立场的纷纷不同程度解读，导致在普通手机用户在百度阴谋论的论调再起。此次百度Moplus漏洞事件不仅折射出普通用户对于手机安全的持续关注和警戒提升，同时显示出手机安全知识普及不充分，极易造成杞人忧天式的恐慌。
其实，百度Moplus是一个由百度提供的安卓软件开发包(SDK)，旨在使得移动应用增加交互性，提升客户体验，如所在位置的精准定位、提供搜索历史以及获取联系人信息等。因为此SDK是不向公众开放，因此被很多用户臆想性的解读为内涵后门，并利用这一后门侵入用户的Android移动设备。
虽然由于智能手机的发展，人们银行、隐私等信息都会更多的呈现在智能手机中，一旦发生大规模恶性手机后门事件，将会严重损害用户的个人利益。但是，像百度这种行业内具有良好声誉和形象的巨头企业，其面对漏洞和补救的态度及速度都是令人满意，我们不能简单的讲一个SDK想象为阴谋侵入用户手机的后门。如果单纯考虑这种不面向公众的SDK其产生的未可知的影响，就犹如想象银行会失窃，那就有些杞人忧天的倾向了。如果这样，大部分的手机软件就基本可以告别了。
但是，如果以技术手段为依托，逐条分析所谓“后门”带来的危险性，其实从本质到形式来说，用户都大可不必惊慌失措。如果手机用户或者网络服务可以抽出一定时间进行安全知识普及，就会了解到目前的手机APP的开发构架和基本模式，对于安装此类文件时就会有新的内心评判，不会有担忧或者阴谋的情绪。
下面，笔者就结合百度MOplus漏洞所牵涉的各个关键问题，做一简要分析和梳理，既是一颗定心丸，也是为了基本安全知识的普及。
SD(Software Development Kit)是指一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。因此，就本质而言，他只是一个中立词汇，一个为了工程师更好的完成软件开发所产生的集合，与“后门”没有必然和特定的联系。而被专业人士所广泛传播的内置HTTP服务器的行为，其实可能很多的用户并不清楚，在安卓软件开发中这种行为是极为常见的，类似APP或者第三方插件有很多。之所以能够正常发展存在至此，一方面是因为没有违反任何相关条例，不存在违规的情况;另一方面是因为乌云等网站公开过的此类漏洞并未产生太大危害，所产生的影响不大。
除了内置HTTP服务器外，百度Molius接口功能异常强大，被解读为一旦出现安全问题将会为恶意利用这带来巨大的空间。很多不明安全知识的用户，一旦看到手机重要信息存在被利用的可能性，就会必然产生惊恐情绪。
这也由于目前的新闻报道中，安全事件报道居多，但是真正的安全知识解读却较少，导致用户并不能从根本层面安全问题产生的本源。
百度Moplus的强大接口功能，主要出现在添加通讯录功能(addcontactinfo)、 获取用户安装列表(getapplist)、获取用户的地理位置信息(geolocation)、下载文件到指定目录(downloadfile)等。
添加通讯录功能， 是指的利用Moplus用户可以根据搜索出的商户信息，在已搜索的页面结果中快速添加商家电话号码到通讯录，及时有效的记忆商家信息。这其实对于大多数手机APP使用者而言是一个极为方便的小功能，免去自己手动添加的麻烦，如果被利用尚未到达有所损害的境地。
获取用户安装列表，是指的在搜索结果中可以获得用户安装的软件信息，对于像恶意方向解读而言或许牵涉隐私数据。但是，我想对于大多数用户而言并没有太大影响，反而是一个不错的小功能，带来较大的便捷操作。
获取用户的地理位置信息，这个对于普通用户来说最好理解，即是我们在搜索相关美食、电影等项目是会自动定位所在区域，推荐附近的优质商家。相信这对于很多的用户来说已经成为极为以来的一种功能，目前大众点评、滴滴等软件已经是提高客户体验和便捷新的必备功能，如果这也被定义为侵犯隐私，那么笔者认为在当前的互联网发展形势下，已经没有使用智能手机的必要，因为APP进行位置信息获取已经成为一种基本功能。
下载文件到指定目录，这个是指的在下载应用后，如果用户的手机存在root权限，会自动静默安装，如果不存在root权限，会弹出系统安装界面安装。其实，就笔者而言这是一项符合用户心理的功能需求，一旦ROOT就意味着对于功能性有着更高的要求，而且目前来看也尚未发现因为这项静默安装漏洞出现相关恶意操作的情况。
通过上述从SDK到MOplus各项功能的解读，或许用户对于此项漏洞所衍生出的所谓“后门”之类情况已经有了大概的认知。他充其量只是一种当下APP开发中常用的技术手段罢了，更多的还是为了能够提高用户的交互性和体验性，为了为用户带来更为舒适便捷的操作体验，根本不存在为了侵入用户手机手机信息的情况。
尽管如此，作为一家负责人的上市企业，百度作为行业的标杆和龙头企业，再确认并修复MOplus漏洞后，还是将其下线。其所秉承的安全第一、用户至上的理念令人感到放心，这种对于潜在风险零容忍的态度和行事速度也令人较为认可。笔者认为，安全无小事，但是我们的互联网企业和用户更应该增强对于安全知识的普及，只有真正认识和了解了互联网安全，互联网才能真正实现安全。
【每篇覆盖100万人的科技评论，微博@互联网分析师于斌，微信个人号，订阅号『互联网分析师于斌 ityubin』】
分享到微信朋友圈
在手机阅读、分享本文
还可以输入250个字
推荐文章RECOMMEND
阅读：6149
阅读：2785
热门文章HOT NEWS
我问过我儿子，他不愿意过我这种生活，这是年轻人自己的选择。
体育大生意
百度新闻客户端
百度新闻客户端
百度新闻客户端
扫描二维码下载
订阅 "百家" 频道
观看更多百家精彩新闻}