Składnik aplikacji Baidu naraża na niebezpieczeństwo 100 milionów urządzeń z systemem Android

Zestaw programistyczny stworzony przez chińską firmę usług internetowych Baidu i używany przez tysiące aplikacji na Androida zawiera funkcję, która umożliwia atakującym dostęp typu "backdoor" do użytkowników. urządzenia.

SDK nosi nazwę Moplus i chociaż nie jest dostępny dla publiczności, został zintegrowany z ponad 14 000 aplikacji, z których tylko około 4000 zostało stworzonych przez Baidu, jak podają analitycy bezpieczeństwa z firmy Trend Micro na blogu w niedzielę.

Firma szacuje, że aplikacje, których dotyczy luka, są używane przez ponad 100 milionów użytkowników.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Według analizy firmy Trend Micro, Moplus SDK ope ns serwer HTTP na urządzeniach, na których zainstalowano aplikacje, których dotyczy problem; serwer nie używa uwierzytelniania i akceptuje żądania od kogokolwiek w Internecie.

Co gorsza, wysyłając żądania do tego ukrytego serwera HTTP, napastnicy mogą wykonywać wstępnie zdefiniowane polecenia zaimplementowane w pakiecie SDK. Mogą one służyć do wydobywania poufnych informacji, takich jak dane o lokalizacji i zapytania, a także do dodawania nowych kontaktów, przesyłania plików, wykonywania połączeń telefonicznych, wyświetlania fałszywych wiadomości i instalowania aplikacji.

Na urządzeniach, które zostały zrootowane, SDK pozwala cicha instalacja aplikacji, co oznacza, że ​​użytkownicy nie zostaną poproszeni o potwierdzenie. W rzeczywistości, badacze Trend Micro znaleźli już robaka na wolności, który wykorzystuje ten backdoor do instalowania niechcianych aplikacji. Szkodliwe oprogramowanie wykrywane jest jako ANDROIDOS_WORMHOLE.HRXA.

Badacze Trend Micro uważają, że pod wieloma względami wada Moplus jest gorsza niż odkryta wcześniej w tym roku w bibliotece Android Stagefright, ponieważ przynajmniej jedna z nich wymagała od napastników wysyłania szkodliwych wiadomości multimedialnych do Numery telefonów użytkowników lub oszukują ich w celu otwarcia złośliwych adresów URL.

Aby wykorzystać problem Moplus, osoby atakujące mogą po prostu przeskanować całe sieci komórkowe pod kątem adresów IP, które mają otwarte porty serwera HTTP Moplus.

Firma Trend Micro powiadomiła Baidu i Google o problemie bezpieczeństwa.

Firma Baidu wydała nową wersję zestawu SDK, w której usunęła niektóre polecenia, ale serwer HTTP wciąż jest otwarty, a niektóre funkcje nadal mogą być nadużywane, firma Trend Micro naukowcy powiedzieli.

Baidu naprawił wszystkie problemy bezpieczeństwa, które zostały zgłoszone firmie do 30 października, przedstawiciel Baidu powiedział za pośrednictwem poczty elektronicznej. "Pozostały kod zidentyfikowany w najnowszym wpisie [Trend Micro] jako potencjalnie problematyczny po naszej naprawie jest w rzeczywistości martwym kodem, bez żadnego efektu."

Nie ma żadnych "tylnych drzwi", powiedział przedstawiciel, dodając, że nieaktywny kod zostanie usunięty w następnej wersji aplikacji firmy dla "jasności".

Pozostaje jednak pytanie, jak szybko wszyscy zewnętrzni programiści używający tego pakietu SDK zaktualizują swoje aplikacje do najnowszej wersji. Lista 20 najbardziej dotkniętych aplikacji na liście Trend Micro zawiera aplikacje innych deweloperów niż Baidu, a niektóre z nich nadal znajdują się w Google Play.