百度应用组件将1亿Android设备置于危险之中

该SDK被称为Moplus，虽然它不向公众开放，但它已被集成到超过14,000个应用程序中，其中仅有4,000个由百度创建，趋势科技的安全研究人员在周日的博客中称。

该公司估计受影响的应用程序已被超过1亿用户使用。

[更多阅读：如何从Windows PC删除恶意软件]

根据趋势科技的分析，Moplus SDK ope ns安装受影响的应用程序的设备上的HTTP服务器;服务器不会使用身份验证并接受来自Internet上任何人的请求

更糟的是，通过向此隐藏的HTTP服务器发送请求，攻击者可以执行在SDK中实现的预定义命令。这些可用于提取敏感信息，如位置数据和搜索查询，以及添加新联系人，上传文件，拨打电话，显示伪造消息并安装应用程序。

在已植根的设备上，SDK允许无声安装应用程序，这意味着用户不会被提示进行确认。事实上，趋势科技的研究人员已经发现了一种蠕虫，它利用这个后门来安装不需要的应用程序。该恶意软件被检测为ANDROIDOS_WORMHOLE.HRXA。

趋势科技研究人员认为，Moplus漏洞在很多方面都比今年早些时候在Android Stagefright库中发现的漏洞更糟糕，因为至少有一个漏洞需要攻击者发送恶意多媒体消息用户的电话号码或诱骗他们开放恶意URL

为了利用Moplus问题，研究人员说，攻击者可以简单地扫描整个移动网络，寻找打开了特定Moplus HTTP服务器端口的互联网协议地址。 >趋势科技已通知百度和谷歌有关安全问题

百度发布了SDK的新版本，其中删除了一些命令，但HTTP服务器仍在打开，某些功能仍可能被滥用，趋势科技研究人员说：“百度解决了10月30日前向公司报告的所有安全问题，百度代表通过电子邮件表示。 “最新的[趋势科技]发布的其他代码在修复后可能会出现问题，实际上是死代码，完全没有任何效果。”

代表说，没有“后门”，并补充说为了“清晰起见”，在公司的应用程序的下一个版本中将删除非活动代码。

然而，问题依然存在，所有使用此SDK的第三方开发人员会以最快的版本更新其应用程序的速度。趋势科技受影响最大的20个应用程序列表包括百度以外的开发人员开发的应用程序，其中一些应用程序仍在Google Play中。