趨勢認為它甚至比怯場(Stagefright)漏洞還危險,雖然影響規模不若怯場漏洞,但駭客只要掃描網路上的IP,找到目標就能展開攻擊,完全不需要使用者的互動,怯場至少還得知道攻擊目標的電話號碼。
文/陳曉莉 | 2015-11-03發表
中國漏洞揭露平台烏雲網日前指出,百度的行動程式與華為手機都受到「蟲洞」(WormHole)漏洞的影響,讓駭客可自遠端執行任意程式。而趨勢科技則公布針對「蟲洞」的研究結果,指稱它是百度自製的Moplus SDK惹的禍,估計影響1.4萬款行動程式,波及上億台的Android裝置。
根據趨勢科技的分析,Moplus是百度自行打造的軟體開發套件,但當中有許多沒必要的後門功能,問題出在Moplus SDK的權限存取控制以及百度應該限制其權限的存取。
這些後門功能使得他人能夠在未經使用者同意之下傳遞網釣頁面、新增聯絡資訊、傳遞偽造的簡訊、或是自裝置上傳檔案,也能自遠端安裝任何應用程式,而且只要裝置連上網路,就有可能遭到有心人的濫用,事實上趨勢已發現相關的攻擊行動。
趨勢科技的行動威脅分析師Seven Shen說明,當使用者啟用基於Moplus SDK的程式時,該SDK就會自動於裝置背景下建立一個本機的HTTP伺服器,並監控所有傳輸的訊息,這基本上就是一個命令暨控制(C&C)的攻擊模式,與傳送C&C攻擊唯一的不同在於此一模式的C&C伺服器是位於使用者端,而攻擊客戶端卻來自四面八方。
此外,該Moplus SDK還含有許多惡意功能,包含上傳或下載檔案、取得程式列表、取得搜尋列資訊、取得服務資訊或掃描下載檔案等,於是駭客只要傳送一個HTTP請求就能存取及使用Moplus,完全不需進行身分認證。
Shen認為它甚至比怯場(Stagefright)漏洞還危險,雖然Moplus SDK的影響規模不若Stagefright漏洞來得大,但駭客只要掃描網路上的IP,找到目標就能展開攻擊,完全不需要使用者的互動,Stagefright至少還得知道攻擊目標的電話號碼。
雖然Moplus為百度自製的SDK,並不是一個開放的SDK,然而趨勢卻發現市場上有超過1.4萬款的行動程式採用Moplus,當中僅有4014款來自百度,估計影響市場上億支的Android裝置。
在該漏洞被揭露之後,百度也宣布正在更新所有受到影響的行動程式。不過,趨勢檢驗已更新的百度地圖程式後發現,百度雖然移除了Moplus中可自遠端安裝程式的功能,卻還遺留部份惡意功能。
趨勢科技已將研究結果送交Google及百度,同時建議使用者安裝該公司的Mobile Security & Antivirus免費防毒程式以過濾含有惡意SDK的行動程式。(編譯/陳曉莉)
from http://www.ithome.com.tw/news/99696