Total Pageviews

Tuesday 3 November 2015

Solidot:百度在SDK更新后,仍保留部分恶意后门功能

百度旗下应用被发现含有WormHole后门,该后门存在于该公司开发的Moplus SDK中。而整合Moplus SDK的Android应用多达14112款,其中4014款属于百度官方应用,包括用户量多达上亿的爱奇艺、百度视频、 百度地图、百度浏览器、百度搜索和安卓市场。当用户启动一个整合Moplus SDK的应用,Moplus SDK会自动在后台设立一个本地HTTP服务器,监视TCP端口6259或40310的信息,百度修改了一个用Java开发的开源HTTP服务器NanoHttpd。一旦从该端口接收到HTTP请求,它会解析消息头和消息体,执行相关指令。它本质上就是一个后门,更糟糕的是还是一个有漏洞的后门,攻击者可以从任何地方发出指令。其中一个指令sendinten可以远程拨打电话、发送虚假短信、在用户不知情下安装任意应用。攻击者可以对任何有Moplus SDK应用的Android设备发动攻击,即便用户升级到最新的Android 6.0上也没有用。安全研究人员认为它比Stagefright漏洞还要恶劣,已经有恶意程序利用Moplus SDK自动部署用户不想要的应用。百度已经更新了Moplus SDK,移除了部分恶意功能,删除了部分恶意指令和相关代码,删除了在root设备上静默安装应用的功能。但不是所有恶意功能都被移除。安全研究人员建议在所有恶意功能确认移除前,删除整合了Moplus SDK的app.
----------
国内的互联网公司没有一个不邪恶!腾讯的qq,小米手机,360程序,酷派手机,中兴手机,华为的路由器,联想的windows系统都爆出过“后门”丑闻。bat中,只有阿里暂时没传出“后门”丑闻。
---------------------

百度SDK亂開後門,「蟲洞」影響1.4萬款app,上億台Android设备


它甚至比怯場(Stagefright)漏洞還危險,雖然影響規模不若怯場漏洞,但駭客只要掃描網路上的IP,找到目標就能展開攻擊,完全不需要使用者的互動,怯場至少還得知道攻擊目標的電話號碼。
文/陳曉莉
中國漏洞揭露平台烏雲網日前指出,百度的行動程式與華為手機都受到「蟲洞」(WormHole)漏洞的影響,讓駭客可自遠端執行任意程式。而趨勢科技則公布針對「蟲洞」的研究結果,指稱它是百度自製的Moplus SDK惹的禍,估計影響1.4萬款行動程式,波及上億台的Android裝置。
根據趨勢科技的分析,Moplus是百度自行打造的軟體開發套件,但當中有許多沒必要的後門功能,問題出在Moplus SDK的權限存取控制以及百度應該限制其權限的存取。
這些後門功能使得他人能夠在未經使用者同意之下傳遞網釣頁面、新增聯絡資訊、傳遞偽造的簡訊、或是自裝置上傳檔案,也能自遠端安裝任何應用程式,而且只要安卓设备連上網路,就有可能遭到有心人的濫用,事實上趨勢已發現相關的攻擊行動。
趨勢科技的行動威脅分析師Seven Shen說明,當使用者啟用基於Moplus SDK的程式時,該SDK就會自動於安卓设备背景下建立一個本機的HTTP伺服器,並監控所有傳輸的訊息,這基本上就是一個命令暨控制(C&C)的攻擊模式,與傳送C&C攻擊唯一的不同在於此一模式的C&C伺服器是位於使用者端,而攻擊端卻來自四面八方。
此外,該Moplus SDK還含有許多惡意功能,包含上傳或下載檔案、取得程式列表、取得搜尋列資訊、取得服務資訊或掃描下載檔案等,於是駭客只要傳送一個HTTP請求就能存取及使用Moplus,完全不需進行身分認證。
Shen認為它甚至比怯場(Stagefright)漏洞還危險,雖然Moplus SDK的影響規模不若Stagefright漏洞來得大,但駭客只要掃描網路上的IP,找到目標就能展開攻擊,完全不需要使用者的互動,Stagefright至少還得知道攻擊目標的電話號碼。
雖然Moplus為百度自製的SDK,並不是一個開放的SDK,然而趨勢卻發現市場上有超過1.4萬款的行動程式採用Moplus,當中僅有4014款來自百度,估計影響市場上億支的Android裝置。
在該漏洞被揭露之後,百度也宣布正在更新所有受到影響的行動程式。不過,趨勢檢驗已更新的百度地圖程式後發現,百度雖然移除了Moplus中可自遠端安裝程式的功能,卻還遺留部份惡意功能。

趨勢科技已將研究結果送交Google及百度,同時建議使用者安裝該公司的Mobile Security & Antivirus免費防毒程式以過濾含有惡意SDK的行動程式.