XCODE风波刚过 更酸爽的安卓百度全家桶来了！

cloud226

简单说来百度的安卓SDK Moplus 自动在App后台设立一个本地HTTP服务器，这个服务器对访问者又没有做严格的校验，导致攻击者可以绕过验证执行指令。接下来，他们就可以远程安装或启动任意应用、打开任意网页、添加新联系人、获取GPS地理位置信息、上传文件、拨打电话、显示伪造短信等。在已经“root”的设备上，该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。攻击者可以对任何有Moplus SDK应用的Android设备发动攻击，不受系统版本影响，即便用户升级到最新的Android 6.0上也无济于事。

不知道大家觉得是百度刻意留后门 还是软件工程师赶工或者对安全性重视不够造成的？


新闻链接
http://mt.sohu.com/20151030/n424715691.shtml
http://www.feng.com/view/Views/2 ... -door-_629054.shtml

dramaking

这个有点不理解啊。。。

相关APP建立一个后台HTTP服务器，然后外界可以通过访问这个服务器来获取手机数据

那首先一点。。。。这个HTTP服务的权限不会超过APP本身的权限。。。。比如APP本身没有拨打电话的权限。。。。通过这个后台HTTP服务黑进来，一样没有办法拨打电话。
另外一点，对于没有ROOT的安卓系统，系统本身除了data区，其他都是read only的。。。。应用级别的APP是无法获得写权限的

dramaking

更新一下。。。。刚刚放狗又仔细看了一下问题代码

总体来说针对的是ROOT的用户

如果没有ROOT，大不了就给你添加一个新的联系人什么的。。。。而且还会出现一个确认窗口。。要求你确认。。。用户很容易发现并且否决

静默安装，打电话 什么的，都需要ROOT用户的，所以说ROOT用户风险很大

dramaking

作为安卓用户。。。。在这里要吐槽一下谷歌。。。

这事情如果发生在苹果上。。。。这一万多款APP估计会被分分钟下架

发生在安卓身上。。。。谷歌一如既往的不闻不问。。。。。保持一个开放的态度。。。

很多时候。。。。这种开放的态度也是对最终用户的不负责。。。。

iamii

dramaking 发表于 2015-11-4 12:15
作为安卓用户。。。。在这里要吐槽一下谷歌。。。

这事情如果发生在苹果上。。。。这一万多款APP估计会被 ...

这是一个开放的世界，对所有的人都是平等。对某些人更平等一些，比如Google百度和黑客。

iamii

伪造短信的话，还是比较可怕的。

比如说：冒充银行给你发验证码，然后打电话过去，骗用户说是银行的，然后报出验证码取得用户信任。。。

plainbbs

既然用自由的android，就不要用天朝的app，尤其是臭名昭著的baidu，365，腾讯...

coolbbb

谷歌怎么不趁机报复一下百度？直接全线下架
百度的垃圾应用已经很恶心了，又来这一出

iamii

http://blog.jobbole.com/93923/

以下是百度地图APP中存在的远程控制的指令的反汇编代码：

    geolocation 获取用户手机的GPS地理位置（城市，经度，纬度）
    getsearchboxinfo 获取手机百度的版本信息
    getapn 获取当前的网络状况（WIFI/3G/4G运营商）
    getserviceinfo 获取提供 nano http 的应用信息
    getpackageinfo 获取手机应用的版本信息
    sendintent 发送任意intent 可以用来打开网页或者与其他app交互
    getcuid 获取imei
    getlocstring 获取本地字符串信息
    scandownloadfile 扫描下载文件(UCDownloads/QQDownloads/360Download…)
    addcontactinfo 给手机增加联系人
    getapplist获取全部安装app信息
    downloadfile 下载任意文件到指定路径如果文件是apk则进行安装
    uploadfile 上传任意文件到指定路径 如果文件是apk则进行安装

当我们看到这些远程指令的时候吓了一跳。你说你一个百度地图好好的导航行不行？为什么要去给别人添加联系人呢？添加联系人也就算了，为什么要去别的服务器下载应用并且安装呢？更夸张的是，安装还不是弹出对话框让用户选择是否安装，而是直接申请root权限进行静默安装。

kevin2005

coolbbb 发表于 2015-11-4 12:50
谷歌怎么不趁机报复一下百度？直接全线下架
百度的垃圾应用已经很恶心了，又来这一出 ...

Google play商店国内压根用不了，被禁了

国内都是各种山寨的app store

而且andeoid手机也不是一定要通过app store安装, 自己下个apk安装包就能随便安装app，毫无安全性可言

iamii

看到这些指令就知道，这不是BUG，这是Feature。是百度给安卓用户特意设计的重量级最新特性。

cloud226

dramaking 发表于 2015-11-4 12:12
更新一下。。。。刚刚放狗又仔细看了一下问题代码

总体来说针对的是ROOT的用户

1400多个APP受感染 相信权限什么的基本已经全部开放了 只是用哪一个App的问题

cloud226

iamii 发表于 2015-11-4 12:58
http://blog.jobbole.com/93923/

以下是百度地图APP中存在的远程控制的指令的反汇编代码：

感谢分享

看来是设计的问题 光考虑方便 完全没有考虑后果。。。

apple101

故意的

Kimojii

Root过的用户如果给百度360这种流氓root权限那只能说是自找的了