百度又爆SDK安全漏洞 駭客隨意連線手機取資訊

佚名發表於2015-11-03

百度漏洞 SDK安全漏洞 網路駭客 竊取個人資訊

騰訊科技訊 中國網頁搜尋引擎百度的安全技術實力引發外界質疑,就在前幾天,國內爆出了“全家桶”安全醜聞。日前,美國一家安全公司稱,百度開發的另外一個SDK(開發包工具)存有安全漏洞,給駭客留下了後門,駭客可以在安卓手機上上傳惡意程式,並且執行程式。

據美國科技新聞網站PCWorld報導,安全公司趨勢科技發現了這一漏洞,並且對外發布。這一漏洞可能給全球一億部安卓手機帶來安全風險。

據報導,這個出現問題的開發包工具名為“Moplus”,目前並不針對普通使用者開放,但是目前已經在共計1.4萬個手機軟體中被使用,其中的四千個由百度公司參加開發。

趨勢科技表示,這個問題SDK,會在安裝感染程式的智慧手機上,執行一個HTTP伺服器程式,這個伺服器程式對訪問者不進行身份驗證,可以接受網際網路上所有人的訪問請求。

這個HTTP伺服器處於藏匿的狀態,網路駭客可以透過這一伺服器執行惡意程式,另外可以從智慧手機上收集個人隱私資訊,比如所處的地理位置,進行過的歷史搜尋,另外還可以在通訊錄中增加記錄,撥打電話,安裝其他的惡意程式。

如果安卓手機已經獲得了ROOT許可權,則這個問題SDK可以進行完全隱蔽的軟體安裝,使用者完全不會知曉被安裝了流氓軟體。

趨勢科技表示,已經有其他的蠕蟲利用了這一漏洞在手機上進行了惡意安裝,其中包括一個名為ANDROIDOS_WORMHOLE.HRXA的流氓軟體。

趨勢科技表示,百度此次出現的安全問題十分糟糕,嚴重程度超過了今年初發現的安卓系統Stagefright漏洞,在那一個漏洞中,駭客還需要誘騙手機使用者開啟惡意網址,進行攻擊的難度較大。

該公司表示,如果要利用這一漏洞進行攻擊,駭客只需要對網路上的裝置進行掃描,從而發現Moplus的HTTP伺服器,之後可以進行連線,發動攻擊。

趨勢科技也表示,已經向百度和谷歌(微博)兩家公司通知了這一漏洞的存在。

據稱,百度已經發行了新版本的SDK,但是上述的HTTP伺服器依然可以開啟,另外一些功能依然可以被駭客利用。

百度公司的一名代表表示,在10月30日之前報告給公司的安全漏洞,已經全部得到了解決。這名代表也表示,百度的SDK工具中,並不存在後門。另外在百度一些手機軟體的新版本中,公司將會刪除一些程式碼。

百度是中國最大的網頁搜尋引擎,但是在網際網路三巨頭BAT的較量中,百度明顯處於落後低位。在PC網際網路向移動網際網路的轉型中,百度出現了動作遲鈍、轉型緩慢的問題。一些人認為,網際網路巨頭的架構將會從BAT變成“AT”。

目前為止,百度依然在中國搜尋市場穩坐第一名的位置,但是許多國內消費者指出,百度搜尋成為網路營銷人員的“樂園”,充滿了各種營銷網頁和欺騙搜尋機器人的“垃圾資訊”網頁,普通大眾尋找有價值資訊的難度越來越大。

據外媒報導,在移動網際網路時代,傳統的網頁搜尋引擎已經成為逐步萎縮的“午後產業”,搜尋次數出現了大幅度下降,消費者更多使用垂直類的各種手機軟體搜尋各種資訊,而不是低效率的網頁搜尋。有媒體認為,谷歌為代表的網頁搜尋,前途很渺茫。(晨曦)

相關文章