|
简单说来百度的安卓SDK Moplus 自动在App后台设立一个本地HTTP服务器,这个服务器对访问者又没有做严格的校验,导致攻击者可以绕过验证执行指令。接下来,他们就可以远程安装或启动任意应用、打开任意网页、添加新联系人、获取GPS地理位置信息、上传文件、拨打电话、显示伪造短信等。在已经“root”的设备上,该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。攻击者可以对任何有Moplus SDK应用的Android设备发动攻击,不受系统版本影响,即便用户升级到最新的Android 6.0上也无济于事。 不知道大家觉得是百度刻意留后门 还是软件工程师赶工或者对安全性重视不够造成的? 新闻链接 http://mt.sohu.com/20151030/n424715691.shtml http://www.feng.com/view/Views/2 ... -door-_629054.shtml  |
