Компонент Baidu ставит под угрозу 100 млн. Android-устройств

Комплект средств разработки от китайского поискового гиганта Baidu, используемый при создании тысяч приложений на операционной системе Android, содержит дающую злоумышленникам доступ к устройствам функцию. SDK под названием Moplus было задействовано при создании более чем 14 тысяч приложений, из которых около 4 тысяч созданы самой Baidu. Об этом рассказала в своём блоге компания Trend Micro.

Согласно её оценке, число пользователей уязвимых приложений может достигать 100 млн. Moplus SDK запускает на устройствах сервер HTTP, который не использует аутентификацию и принимает все запросы из Интернета. За счёт этого при атаке можно исполнять внедрённые в SDK команды, получая сведения о местоположении устройства и поисковые запросы, добавлять контакты, загружать файлы, совершать телефонные звонки, устанавливать приложения. На рутированных устройствах установка приложений не требует подтверждения от пользователей.

В Trend Micro уже обнаружили червя под названием ANDROIDOS_WORMHOLE.HRXA, который использует данный бэкдор. Исследователи считают эту уязвимость ещё опаснее, чем найденная в этом году в Android уязвимость Stagefright, побудившую Google начать выпускать ежемесячные обновления безопасности для аппаратов Nexus. Здесь не нужно завлекать пользователей ссылками или заставлять их открывать файлы; достаточно просканировать мобильную сеть на наличие открытых портов Moplus HTTP.

Baidu уже выпустила обновлённую версию SDK, в которой проблемный код стал неактивным, а в будущем он будет полностью устранён. Однако разработчики приложений вряд ли будут столь же оперативны при их обновлении, и уязвимые программы остаются доступными в магазине Play Store.