前有XcodeGhost事件讓蘋果手機用戶陷入了被“透明”的尷尬境地，事實證明，遭殃的不僅僅是蘋果和他的手機用戶，這一次輪到了百度！

據(jù)科技網(wǎng)站PCWorld報道，由百度開發(fā)的一款SDK(軟件開發(fā)工具包)包含有一項特性，能使黑客以后門方式訪問用戶設(shè)備。數(shù)以千計的Android應(yīng)用利用了百度的這款SDK。

安全廠商趨勢(Trend Micro)研究人員周日發(fā)表博文稱，這款SDK名為Moplus，盡管它不向公眾開放，但被整合在逾1.4萬款應(yīng)用中，其中約4000款是由百度開發(fā)的。趨勢估計，受影響應(yīng)用的用戶總數(shù)超過1億。

趨勢的分析報告稱，Moplus SDK會在安裝有受影響應(yīng)用的設(shè)備上開啟一個HTTP服務(wù)器，它不使用任何認(rèn)證技術(shù)，接受來自互聯(lián)網(wǎng)上任意設(shè)備的請求。

更糟糕的是，通過向這一隱藏的HTTP服務(wù)器發(fā)送請求，黑客可以執(zhí)行在SDK中實現(xiàn)的預(yù)先定義的命令。這些命令可以用來提取位置數(shù)據(jù)和搜索關(guān)鍵字等敏感信息，以及增加新聯(lián)系人、上傳文件、打電話、顯示虛假信息、安裝應(yīng)用。

在越獄的設(shè)備上，這款SDK允許靜默安裝應(yīng)用，這意味著用戶不會收到提示信息。事實上，趨勢研究人員已經(jīng)發(fā)現(xiàn)一款利用該漏洞安裝用戶不需要應(yīng)用的蠕蟲病毒——ANDROIDOS_WORMHOLE.HRXA。

趨勢研究人員認(rèn)為，在許多方面，Moplus缺陷比今年早些時候在Android Stagefright庫中發(fā)現(xiàn)的一處缺陷更糟糕，因為后者至少要求黑客向用戶發(fā)送惡意彩信，或誘惑用戶打開惡意鏈接。

研究人員稱，為了利用該Moplus缺陷，黑客只需掃描整個移動網(wǎng)絡(luò)，發(fā)現(xiàn)打開特定Moplus HTTP服務(wù)器端口的IP地址。

趨勢已經(jīng)向百度和谷歌通報了這一安全問題。

趨勢安全研究人員稱，百度已經(jīng)發(fā)布了新版SDK，刪除了部分命令，但它仍然開啟HTTP服務(wù)器，部分功能仍然會被黑客濫用。

百度研究人員通過一封電子郵件稱，該公司已經(jīng)修復(fù)了10月30日前報告的所有安全缺陷，這款SDK中不存在“后門”，在新版SDK中，不活躍代碼將被去除。

但是，問題在于使用這款SDK的第三方開發(fā)者更新他們應(yīng)用的速度。趨勢列出的20款受影響最大的應(yīng)用包括第三方開發(fā)的應(yīng)用，部分還沒有從Google Play下架。