百度音乐,手机百度,凤凰视频,爱奇艺PPS…Moplus SDK 的問題延燒到非百度應用程式

百度自製Moplus SDK被發現有後門漏洞-蟲洞(Wormhole),影響14,000款APP,以及上億台Android裝置!只要Android裝置連上網路,駭客就有機會在你不知不覺的情況下,透過漏洞傳送釣魚網站,假訊息,下載惡意檔案、應用程式或APP到你的終端裝置(手機或平板),傷害裝置或竊取資訊。

受影響的百度開發APP,其中不乏受歡迎的APP,如愛奇藝、PPS等。趨勢科技持續進行研究,本來認定漏洞僅限在百度所開發的APP,最新發現有些「非百度」APP也受到波及,如汽车之家 (com.cubic.autohome),凤凰视频 (com.ifeng.newvideo)…等等。

目前約有4,000多個百度開發APP,常被預載在小米、華為、InFocus等手機或平板中。

 

趨勢科技最近探討了 Moplus SDK 的後門行為以及相關的 Wormhole 漏洞,,影響14,000款APP,以及上億台Android裝置!由於 Moplus SDK 是由百度所開發,而且並非公開供人下載,因此我們一開始認為這問題應該只侷限於百度所開發的應用程式而已。沒想到,趨勢科技最新的研究發現,一些非百度開發的熱門應用程式也同樣遭殃。

Mobile 手機 駭客

逐漸擴大的衝擊

根據趨勢科技的掃瞄發現,超過 14,000 個各類行動裝置應用程式的樣本都有此問題,包括同一個程式的多個不同樣本 (以安裝套件名稱為準) 都有問題。目前總共有 684 個不同應用程式的樣本含有此問題,包括一些熱門應用程式在內,例如:百度地圖和手機百度 (Baidu Searchbox)。下表顯示網路上問題樣本最多的前 20 個行動裝置應用程式:

安裝套件名稱 最高版本 蒐集到的樣本數
com.qiyi.video 6.1.2 1576
com.baidu.video 7.9.1 1398
com.baidu.BaiduMap 8.7.0 1307
com.baidu.browser.apps 6.2.16.0 1140
com.baidu.appsearch 6.6.2Beta 1100
com.nd.android.pandahome2 8.2.2 777
com.hiapk.marketpho 6.6.1.81 715
com.android.comicsisland.activity 3.3.10 690
com.baidu.hao123 6.1.1.0 642
com.baidu.searchbox 6.0.1 458
tv.pps.mobile 4.0.0 452
com.mfw.roadbook 5.8.6 417
com.tuniu.app.ui 6.0.7 407
com.ifeng.newvideo 6.9.6 392
com.baidu.netdisk 7.9.0 381
com.quanleimu.activity 6.1.1 329
com.dragon.android.pandaspace 6.6.1.91 322
com.yuedong.sport 3.1.1.4.159 318
com.dongqiudi.news 3.4.6 301
air.fyzb3 5.7.3 286

表 1:問題樣本最多的應用程式。

應用程式商店也受影響

在 Google Play 上,百度絕大多數的程式都已無此問題。但仍有一個應用程式還含有惡意程式碼,那就是:百度音樂。根據百度提供的資訊,該公司已不再維護該程式,因此該程式下星期將從 Google Play 下架。趨勢科技還發現另一個非官方應用程式 (央视影音) 也還含有此問題。


Continue reading “百度音乐,手机百度,凤凰视频,爱奇艺PPS…Moplus SDK 的問題延燒到非百度應用程式”

百度 Moplus SDK 開後門,上億Android 用戶受影響!!

Moplus SDK 的後門行為以及相關的 Wormhole 漏洞

這是一項重大問題,甚至比 Stagefright 漏洞還要嚴重,因為後者還需經由網路釣魚連結將使用者帶到某個網站,或是透過使用者的電話號碼才能發送惡意簡訊。但此 SDK 卻讓駭客只需單純地掃瞄網路 IP 位址,而且不需使用者配合採取任何動作,也不需任何社交工程技巧。

一個名為 Wormhole (蟲洞)的漏洞,據報專門攻擊百度的 Moplus SDK 軟體開發套件,最近因其攻擊成功之後所帶來的嚴重後果而聲名大噪。此漏洞是由中國的漏洞通報開放平台 WooYun.og 所舉報。

手機 mobile

然而,經過趨勢科技的仔細研究之後發現,Moplus SDK 本身就內含一些後門功能,所以前述攻擊不必然是因為漏洞所引起或與之相關。目前,普遍的看法是此問題源自於 Moplus SDK 的存取權限控管沒有做好適當管制。因此,這個看似漏洞的問題,其實是該 SDK 本身內含後門功能所造成,例如:推送網路釣魚網頁、隨意插入聯絡人資訊、傳送假冒的簡訊、將本地端檔案上傳至遠端伺服器,以及未經使用者允許就安裝任何應用程式到 Android 裝置上。 而且只要裝置連上網際網路,這些功能就能順利執行。如今,Moplus SDK 已內含在許多 Android 應用程式當中,目前大約有 1 億名 Android 用戶受到影響。此外,我們也發現,已經有一個使用 Moplus SDK 的惡意程式在網路上流傳。

此篇部落格將探討 Moplus SDK 當中的惡意功能,以及這些功能將為 Android 裝置帶來什麼風險。

圖 1:一個利用 Moplus SDK 將自己偷偷安裝到裝置上的惡意程式。

挖掘 Moplus SDK 的祕密

Moplus SDK 是由中國搜尋引擎龍頭百度所開發。在此次調查當中,我們檢視了兩個不同的 App,一個是「百度地图」(百度地圖) (com.baidu.BaiduMap,8.7.0) 另一個是「奇闻异录」(奇聞異錄) ( com.ufo.dcb.lingyi,1.3)。雖然它們內含的 SDK 版本有所不同,但程式碼卻大同小異。

圖 2:「奇聞異錄」(com.ufo.dcb.lingyi) 當中的 Moplus SDK。 Continue reading “百度 Moplus SDK 開後門,上億Android 用戶受影響!!”