Компонент приложения Baidu ставит под угрозу 100 миллионов Android-устройств

Набор для разработки программного обеспечения, созданный китайской компанией интернет-услуг Baidu и используемый тысячами приложений для Android, содержит функцию, которая предоставляет злоумышленникам бэкдор-подобный доступ к пользователям, устройств.

SDK называется Moplus, и пока он не открыт для публики, он был интегрирован в более чем 14 000 приложений, из которых только около 4000 были созданы Baidu, исследователи безопасности Trend Micro сообщили в воскресном блоге.

Компания оценивает, что затронутые приложения используются более чем 100 миллионами пользователей.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Согласно анализу Trend Micro, Moplus SDK ope ns HTTP-сервер на устройствах, на которых установлены уязвимые приложения; сервер не использует аутентификацию и принимает запросы от любого пользователя в Интернете.

Хуже того, отправляя запросы на этот скрытый HTTP-сервер, злоумышленники могут выполнять предопределенные команды, которые были реализованы в SDK. Они могут использоваться для извлечения важной информации, такой как данные о местоположении и поисковые запросы, а также для добавления новых контактов, загрузки файлов, совершения телефонных звонков, отображения ложных сообщений и установки приложений.

На устройствах, которые были внедрены, SDK позволяет тихая установка приложений, что означает, что пользователям не будет предложено подтвердить. Фактически, исследователи Trend Micro уже нашли червь в дикой природе, который использует этот бэкдор для установки нежелательных приложений. Вредоносная программа обнаружена как ANDROIDOS_WORMHOLE.HRXA.

Исследователи Trend Micro считают, что во многих отношениях недостаток Moplus хуже, чем тот, который был обнаружен ранее в этом году в библиотеке Android Stagefright, потому что по крайней мере один из них требовал от злоумышленников отправки вредоносных мультимедийных сообщений номера телефонов пользователей или обмануть их при открытии вредоносных URL-адресов.

Для того, чтобы использовать проблему Moplus, злоумышленники могут просто сканировать целые мобильные сети для адресов интернет-протокола, в которых есть определенные порты HTTP-сервера Moplus, сказали исследователи.

Trend Micro уведомила Baidu и Google о проблеме безопасности.

Baidu выпустил новую версию SDK, в которой он удалил некоторые команды, но HTTP-сервер все еще открыт, а некоторые функции все еще могут быть злоупотреблены, Trend Micro исследователи сказали.

Baidu зафиксировал все проблемы безопасности, которые были сообщены компании к 30 октября, представитель Baidu сказал по электронной почте. «Оставшийся код, который был идентифицирован в последнем сообщении [Trend Micro], как потенциально проблематичный после нашего исправления, на самом деле является мертвым кодом, без какого-либо эффекта».

Нет «бэкдоров», сказал представитель, добавив, что неактивный код будет удален в следующей версии приложений компании для «ясности».

Однако остается вопрос, насколько быстро все сторонние разработчики, которые использовали этот SDK, обновят свои приложения с помощью последней версии. В список 20 лучших приложений Trend Micro входят приложения от разработчиков, отличных от Baidu, и некоторые из них по-прежнему находятся в Google Play.