A Baidu alkalmazásösszetevő 100 millió veszélyeztetett Android-eszközt helyez el

A Baidu kínai internetes szolgáltató cég által létrehozott és több ezer Android-alkalmazás által létrehozott szoftverfejlesztési készlet tartalmaz egy olyan funkciót, amely a támadók számára lehetővé teszi, eszközöket.

Az SDK-t Moplusnak hívják, és miközben nem áll nyitva a nyilvánosság számára, több mint 14 000 alkalmazásba integrálódott, ebből csak a 4000-et hozta létre Baidu, a Trend Micro biztonsági kutatói egy vasárnapi blogbejegyzésben.

A cég becslése szerint az érintett alkalmazásokat több mint 100 millió felhasználó használja.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

A Trend Micro elemzése szerint a Moplus SDK ns olyan HTTP szerver, amelyen az érintett alkalmazások telepítve vannak; a kiszolgáló nem használja a hitelesítést és elfogadja az interneten bárkinek küldött kéréseket.

Még rosszabb, ha kéréseket küld erről a rejtett HTTP-kiszolgálóra, a támadók végrehajthatnak előre definiált parancsokat, amelyeket az SDK-ban hajtottak végre. Ezek felhasználhatók érzékeny információk, például helyadatok és keresési lekérdezések kivonására, valamint új névjegyek felvételére, fájlok feltöltésére, telefonhívások kezdeményezésére, hibás üzenetek megjelenítésére és alkalmazások telepítésére.

Az alapértelmezett eszközökön az SDK lehetővé teszi az alkalmazások csendes telepítése, ami azt jelenti, hogy a felhasználóknak nem kell megerősítést kérniük. Valójában a Trend Micro kutatói már találtak egy fémet a vadonban, amely kihasználja ezt a hátsó ajtót a nem kívánt alkalmazások telepítésére. A rosszindulatú szoftverek ANDROIDOS_WORMHOLE.HRXA.

A Trend Micro kutatói úgy vélik, hogy sok szempontból a Moplus hibája rosszabb, mint az Android Stagefright könyvtárában idén felfedezett, mert legalább az egyik azt igényelte, hogy a támadók rosszindulatú multimédia üzeneteket küldjenek a felhasználók telefonszámai vagy a rosszindulatú URL-ek megnyitására.

A Moplus-probléma kihasználása érdekében a támadók egyszerűen átvizsgálhatják az egész internetes mobilhálózatot az Internet Protokoll-címek számára, amelyek megnyitják a Moplus HTTP szerver portjait. > A Trend Micro értesítette a Baiduot és a Google-t a biztonsági problémáról.

A Baidu kiadta az SDK új verzióját, amelyben néhány parancsot eltávolított, de a HTTP szerver még mindig nyitva van, és bizonyos funkciókat továbbra is visszaélhetnek, a Trend Micro a kutatók szerint.

Baidu rögzítette az összes olyan biztonsági problémát, amelyet a vállalatnak jelentettek be október 30-ig, egy Baidu képviselője e-mailben értesítette. "A legfrissebb [Trend Micro] bejegyzés azonosítása, amely a javítás után potenciálisan problematikus volt, valójában egy halott kód, egyáltalán nincs hatással."

Nincs "backdoors", a képviselő azt mondta, hozzátéve, hogy a az inaktív kódot a vállalat alkalmazások következő verziójában eltávolítjuk a "világosság kedvéért".

Mindazonáltal továbbra is kérdéses, hogy az SDK-t használó összes külső fejlesztő milyen gyorsan frissíti alkalmazását a legújabb verzióval. A legnépszerűbb 20 érintett alkalmazás közül a Trend Micro felsorolja a Baidu-tól eltérő fejlesztők alkalmazásai, és néhányuk még mindig a Google Playen található.