百度Android开发工具被爆存在漏洞：数千款应用受影响

　　据悉，百度提供的一个软件开发包被曝光存在后门，而黑客可以利用这一后门入侵用户的设备。这一SDK被用在了数千款Android应用中。

　　信息安全研究人员周二表示，这一SDK名为Moplus。尽管没有公开发布，但这一SDK被集成至超过1.4万个应用，其中只有约4000个应用为百度开发。

　　估计受影响的应用被超过1亿用户使用。根据该公司的分析，Moplus SDK在用户设备上启动了HTTP服务器。这一服务器没有使用任何验证机制，会接受互联网上任何人的请求。

　　更糟糕的是，通过向这一隐藏的HTTP服务器发送请求，攻击者可以执行SDK中预定义的命令。这意味着攻击者可以获得位置数据和搜索关键词等敏感信息，并执行新增联系人、上传文件、拨打电话、显示伪造消息，以及安装应用等操作。

　　在被root的Android设备上，这一SDK允许应用的静默安装。这意味着，用户在没有看到任何确认消息的情况下，应用就可能被安装至设备。实际上，研究人员已经发现了一种蠕虫病毒，利用这一后门安装用户不需要的应用。这一恶意软件名为ANDROIDOS_WORMHOLE.HRXA。

　　从多个方面来看，Moplus漏洞都要比今年早些时候AndroidStagefright库中发现的漏洞更严重。利用后一漏洞，攻击者至少需要向用户手机发送恶意的多媒体消息，或是欺骗用户打开恶意链接。而如果希望利用Moplus漏洞，那么攻击者可以扫描整个移动互联网，寻找MoplusHTTP服务器开启的IP地址。

　　百度已经发布了新版SDK，删除了一些命令。但趋势科技表示，HTTP服务器目前仍会开启，而一些功能仍可能被滥用。

　　百度一名发言人表示，百度已修复了10月30日报告给该公司的所有信息安全漏洞。“关于最新报告可能存在问题的其余代码，在我们的修复之后已成为无用代码，不会产生影响。”

　　这名发言人表示，百度没有提供“后门”。而在该公司的下一版应用中，这些未激活代码将会被删除。