据美国科技新闻网站PCWorld报道,安全公司在在百度开发的另外一个SDK(开发包工具)中发现存有安全漏洞,可使黑客在安卓手机上上传恶意程序,并且执行程序。
百度SDK被曝安全漏洞(图片来自腾讯)
据报道,这个出现问题的开发包工具名为“Moplus”,目前并不针对普通用户开放,但是目前已经在共计1.4万个手机软件中被使用,其中的四千个由百度公司参加开发。“这个问题SDK,会在安装感染程序的智能手机上,运行一个HTTP服务器程序,这个服务器程序对访问者不进行身份验证,可以接受互联网上所有人的访问请求”,安全公司称。
这个HTTP服务器处于藏匿的状态,网络黑客可以通过这一服务器执行恶意程序,另外可以从智能手机上收集个人隐私信息,比如所处的地理位置,进行过的历史搜索,另外还可以在通讯录中增加记录,拨打电话,安装其他的恶意程序。
如果安卓手机已经获得了ROOT权限,则这个问题SDK可以进行完全隐蔽的软件安装,用户完全不会知晓被安装了流氓软件。“已经有其他的蠕虫利用了这一漏洞在手机上进行了恶意安装,其中包括一个名为ANDROIDOS_WORMHOLE.HRXA的流氓软件”,安全公司称。
目前,安全公司已经向百度和谷歌两家公司通知了这一漏洞的存在。据称,百度已经发行了新版本的SDK,但是上述的HTTP服务器依然可以打开,另外一些功能依然可以被黑客利用。
百度的一名代表表示,在10月30日之前报告给公司的安全漏洞,已经全部得到了解决。这名代表也表示,百度的SDK工具中,并不存在后门。另外在百度一些手机软件的新版本中,公司将会删除一些代码。