XCODE风波刚过 更酸爽的安卓百度全家桶来了！

cloud226

简单说来百度的安卓SDK Moplus 自动在App后台设立一个本地HTTP服务器，这个服务器对访问者又没有做严格的校验，导致攻击者可以绕过验证执行指令。接下来，他们就可以远程安装或启动任意应用、打开任意网页、添加新联系人、获取GPS地理位置信息、上传文件、拨打电话、显示伪造短信等。在已经“root”的设备上，该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。攻击者可以对任何有Moplus SDK应用的Android设备发动攻击，不受系统版本影响，即便用户升级到最新的Android 6.0上也无济于事。

不知道大家觉得是百度刻意留后门 还是软件工程师赶工或者对安全性重视不够造成的？


新闻链接
http://mt.sohu.com/20151030/n424715691.shtml
http://www.feng.com/view/Views/2 ... -door-_629054.shtml

dramaking

这个有点不理解啊。。。

相关APP建立一个后台HTTP服务器，然后外界可以通过访问这个服务器来获取手机数据

那首先一点。。。。这个HTTP服务的权限不会超过APP本身的权限。。。。比如APP本身没有拨打电话的权限。。。。通过这个后台HTTP服务黑进来，一样没有办法拨打电话。
另外一点，对于没有ROOT的安卓系统，系统本身除了data区，其他都是read only的。。。。应用级别的APP是无法获得写权限的

dramaking

更新一下。。。。刚刚放狗又仔细看了一下问题代码

总体来说针对的是ROOT的用户

如果没有ROOT，大不了就给你添加一个新的联系人什么的。。。。而且还会出现一个确认窗口。。要求你确认。。。用户很容易发现并且否决

静默安装，打电话 什么的，都需要ROOT用户的，所以说ROOT用户风险很大

dramaking

作为安卓用户。。。。在这里要吐槽一下谷歌。。。

这事情如果发生在苹果上。。。。这一万多款APP估计会被分分钟下架

发生在安卓身上。。。。谷歌一如既往的不闻不问。。。。。保持一个开放的态度。。。

很多时候。。。。这种开放的态度也是对最终用户的不负责。。。。

iamii

dramaking 发表于 2015-11-4 12:15
作为安卓用户。。。。在这里要吐槽一下谷歌。。。

这事情如果发生在苹果上。。。。这一万多款APP估计会被 ...

这是一个开放的世界，对所有的人都是平等。对某些人更平等一些，比如Google百度和黑客。

iamii

伪造短信的话，还是比较可怕的。

比如说：冒充银行给你发验证码，然后打电话过去，骗用户说是银行的，然后报出验证码取得用户信任。。。

plainbbs

既然用自由的android，就不要用天朝的app，尤其是臭名昭著的baidu，365，腾讯...

coolbbb

谷歌怎么不趁机报复一下百度？直接全线下架
百度的垃圾应用已经很恶心了，又来这一出

iamii

http://blog.jobbole.com/93923/

以下是百度地图APP中存在的远程控制的指令的反汇编代码：

    geolocation 获取用户手机的GPS地理位置（城市，经度，纬度）
    getsearchboxinfo 获取手机百度的版本信息
    getapn 获取当前的网络状况（WIFI/3G/4G运营商）
    getserviceinfo 获取提供 nano http 的应用信息
    getpackageinfo 获取手机应用的版本信息
    sendintent 发送任意intent 可以用来打开网页或者与其他app交互
    getcuid 获取imei
    getlocstring 获取本地字符串信息
    scandownloadfile 扫描下载文件(UCDownloads/QQDownloads/360Download…)
    addcontactinfo 给手机增加联系人
    getapplist获取全部安装app信息
    downloadfile 下载任意文件到指定路径如果文件是apk则进行安装
    uploadfile 上传任意文件到指定路径 如果文件是apk则进行安装

当我们看到这些远程指令的时候吓了一跳。你说你一个百度地图好好的导航行不行？为什么要去给别人添加联系人呢？添加联系人也就算了，为什么要去别的服务器下载应用并且安装呢？更夸张的是，安装还不是弹出对话框让用户选择是否安装，而是直接申请root权限进行静默安装。

kevin2005

coolbbb 发表于 2015-11-4 12:50
谷歌怎么不趁机报复一下百度？直接全线下架
百度的垃圾应用已经很恶心了，又来这一出 ...

Google play商店国内压根用不了，被禁了

国内都是各种山寨的app store

而且andeoid手机也不是一定要通过app store安装, 自己下个apk安装包就能随便安装app，毫无安全性可言

iamii

看到这些指令就知道，这不是BUG，这是Feature。是百度给安卓用户特意设计的重量级最新特性。

cloud226

dramaking 发表于 2015-11-4 12:12
更新一下。。。。刚刚放狗又仔细看了一下问题代码

总体来说针对的是ROOT的用户

1400多个APP受感染 相信权限什么的基本已经全部开放了 只是用哪一个App的问题

cloud226

iamii 发表于 2015-11-4 12:58
http://blog.jobbole.com/93923/

以下是百度地图APP中存在的远程控制的指令的反汇编代码：

感谢分享

看来是设计的问题 光考虑方便 完全没有考虑后果。。。

apple101

故意的

Kimojii

Root过的用户如果给百度360这种流氓root权限那只能说是自找的了

dramaking

cloud226 发表于 2015-11-4 14:21
14000多个APP受感染 相信权限什么的基本已经全部开放了 只是用哪一个App的问题 ...

权限没有开放的

安卓的权限还是管理的很严格的

如果有人ROOT了自己的手机，又把ROOT权限开放给了APP

那就只能说no zuo no die了

cloud226

dramaking 发表于 2015-11-4 15:17
权限没有开放的

安卓的权限还是管理的很严格的

你理解错了

我是说一个app没有call permission 但是非常有可能另外一个app有 所以可以通过另外一个app来完成攻击 总共1400多个app 相信基本permission都已经被覆盖完全

更不用说上面iamii贴出的单单百度地图的permission就够让攻击者去做不少手脚了

dramaking

cloud226 发表于 2015-11-4 15:28
你理解错了

我是说一个app没有call permission 但是非常有可能另外一个app有 所以可以通过另外一个app来 ...

如果没有ROOT的机器，就算有call 权限，也无法静默完成，需要用户确认的

说真的，很少有APP申请CALL权限。。。。。一般申请这个的。。。你直接就可以别安装了。。。

商务车

百度，呵呵

没有监督和竞争的市场的会有什么后果

绝对的权利导致绝对的腐败

symeteor

用安卓就要被强奸的觉悟啦，强奸的次数多了自然而然也就不在意这些了

国内的百度 腾讯 阿里，哪个在安卓上不是全家桶各种流氓，习惯啦

jerryclark

dramaking 发表于 2015-11-4 12:04
这个有点不理解啊。。。

相关APP建立一个后台HTTP服务器，然后外界可以通过访问这个服务器来获取手机数据

百毒app安装时要求的权限比天上的星星还多

jerryclark

plainbbs 发表于 2015-11-4 12:47
既然用自由的android，就不要用天朝的app，尤其是臭名昭著的baidu，365，腾讯... ...

国内的app都不经过Google Play的。都直接用apk下载安装的

jerryclark

百度捅了以后，等哪天有人爆料微信

anquandiyi

现在安卓的app好多是不管有没有用，申请一大堆的权限，希望以后除了在安装的时候可以选择接受与否，安装后也可以有原生程序来控制权限就好了

mzbac

百度直接帮你一键root... 普通用户啥都不知道 一般都会点 root 然后 就没有然后了

iamii

就算没有Root，也可以往手机里发伪造的短信。

典型的行骗方法就是：给手机发伪造的短信银行验证码，然后打电话给机主，准确地报出验证码，到这个阶段，50%的人会信这个电话是银行打过来。。。下面就可以发挥创意了。

当然各位都不属于这个50%。但全国十亿手机用户能够骗到五亿我也满足了。

malazhumao

中南海的要求，关起门来赶走谷歌让你发展，你难道不配合一下中南海的生理需要，想想小米的丑闻，在看小米的崛起就不是偶然，你只要配合中南海投其所好，你就可以发财

malazhumao

dramaking 发表于 2015-11-4 12:04
这个有点不理解啊。。。

相关APP建立一个后台HTTP服务器，然后外界可以通过访问这个服务器来获取手机数据

国内都是刷rom＋山寨app store，病毒木马比当年win98时代还泛滥，这完全是国情

jimway

cloud226 发表于 2015-11-4 13:22
感谢分享

看来是设计的问题 光考虑方便 完全没有考虑后果。。。

百度 一贯流氓

因为google 被禁, 国内那些 app store 的确跟 google 无关.
虽然叫那个名,但是里面内容 全是 自定义的

赵兄托你办点事

dramaking 发表于 2015-11-4 11:15
作为安卓用户。。。。在这里要吐槽一下谷歌。。。

这事情如果发生在苹果上。。。。这一万多款APP估计会被 ...

国产手机已经雄起，已经把iphone“吊打”过无数次了。

这点后门算什么。