Другие новости

Компонент приложения делает уязвимыми 100 миллионов Android-устройств

03.11.2015 | 00:13 Экономика

Baidu Moplus SDK позволяет злоумышленникам выполнять вредоносные команды на устройствах пользователей

Комплект для разработки программного обеспечения, созданный китайской компанией Baidu, предоставляющей интернет-сервисы, и используемый тысячами приложений Android, содержит функцию, которая дает злоумышленникам бэкдор- доступ к устройствам пользователей.

SDK называется Moplus и, несмотря на то, что он не является открытым для общественности, он был интегрирован в более чем 14000 приложений, из которых только около 4000 были созданы Baidu, написали исследователи безопасности из компании Trend Micro в блоге.

По оценкам компании, уязвимые приложения используются более чем 100 миллионами пользователей.

Согласно анализу компании Trend Micro, Moplus SDK открывает HTTP-сервер на устройствах, где установлены уязвимые приложения. Сервер не использует аутентификацию и принимает запросы от кого угодно в Интернете.

Еще хуже то, что посылая запросы к этому скрытому HTTP-серверу, злоумышленники могут выполнить предопределенные команды, которые были реализованы в SDK. Это можно использовать для извлечения конфиденциальной информации: данных о местоположении, поисковых запросов, а также добавлять новые контакты, загружать файлы, делать телефонные звонки, отображать поддельные сообщения и устанавливать приложения.

На устройствах, которые были рутированы, данный SDK позволяет автоматическую установку приложений, а это означает, что у пользователей не запрашивается подтверждение. На самом деле, исследователи Trend Micro уже нашли червя в условиях дикой природы, который использует данный бэкдор для установки нежелательных приложений. Вредоносная программа детектируется как ANDROIDOS_WORMHOLE.HRXA.

Исследователи Trend Micro полагают, что уязвимость Moplus хуже, чем обнаруженная ранее в этом году уязвимость в библиотеке Android-Stagefright, поскольку вторая, по крайней мере, требует отправки вредоносных мультимедийных сообщений злоумышленниками на номера телефонов пользователей, или жертв нужно обманом заставить перейти на вредоносные URL-адреса.

Чтобы эксплуатировать уязвимость Moplus, злоумышленникам нужно просто просканировать мобильную сеть на наличие IP адресов, у которых открыты определенные порты Moplus HTTP-сервера, говорят исследователи.

Trend Micro уведомила Baidu и Google о данной проблеме.

Baidu выпустила новую версию SDK, в которой убрала некоторые команды, но сервер HTTP все еще открыт, и некоторые функции все еще можно использовать, говорят исследователи Trend Micro.

Baidu исправила все проблемы безопасности, которые были доведены до сведения компании до 30 октября, сказал представитель Baidu. «Оставшаяся часть кода, которая упоминается в последнем размещенном посте Trend Micro, как потенциально проблематичная, после нашего исправления, на самом деле является мертвой, не оказывающей никакого эффекта».

Там нет «бэкдоров», сказал представитель, добавив, что неактивный код будет удален в следующей версии приложения, для «ясности».

Тем не менее, остается вопрос — как быстро все сторонние разработчики, которые использовали этот SDK, обновят свои приложения до последней версии. Список компании Trend Micro из 20 уязвимых приложений включает в себя приложения отличных от Baidu разработчиков, и некоторые из них все еще присутствуют в Google Play.