11月3日消息，據國外媒體報道，攻擊者可以利用百度的一款軟件開發工具包（SDK），通過類似后門的方式訪問普通用戶的設備。市面上有上萬款安卓應用使用百度的這一開發套件。

網絡安全公司Trend Micro的研究人員周日表示，雖然普通用戶并不直接接觸百度這一名為“Moplus”的開發工具，但有超過1.4萬款應用整合了該工具。在這些應用中，只有大約4000款應用由百度自行開發。

Trend Micro估計，有超過1億用戶在使用這些受影響的應用。

根據Trend Micro的分析，若安裝了受影響的應用，Moplus工具包便會在設備上架設一HTTP服務器；該服務器沒有任何認證措施，而且可以接受來自互聯網的任意請求。

更糟的是，通過向這一隱藏的HTTP服務器發送請求，攻擊者可以執行那些部署在這一SDK中的預定義指令。這些指令可被用來提取諸如地理位置、查詢請求等敏感信息，還可以添加新聯系人、上傳文件、撥打電話、顯示偽造短信并安裝應用。

在已經“root”的設備上，該SDK還允許應用靜默安裝。這意味著設備在安裝應用時無需經過用戶確認。Trend Micro的研究人員已經發現了一款利用該后門肆意安裝應用的蠕蟲。這一惡意軟件被確定為ANDROIDOS_WORMHOLE.HRXA。

Trend Micro的研究人員認為，從很多方面看，Moplus開發套件上存在的安全問題，其嚴重程度要遠超今年早些時候在安卓“Stagefright”庫中發現的漏洞。理由是攻擊者在利用后者的漏洞時，至少要先向用戶手機發送惡意彩信，或哄騙他們打開惡意網站鏈接。

而利用Moplus漏洞，攻擊者只需掃描手機網絡上那些開啟了Moplus HTTP服務器端口的IP地址。

Trend Micro已向百度和谷歌報告了這一安全問題。

Trend Micro的研究人員稱，雖然百度在新版SDK中刪除了一些指令，但HTTP服務器仍然開放，而且一些功能仍有可能被濫用。

百度代表在郵件中表示：“截至10月30日，百度已修復了所有報告給公司的安全問題。Trend Micro最新文章中所稱有問題的剩余代碼，實際上是修復后的廢棄代碼，不會有任何影響。”

該代表稱不存在任何“后門”。此人還補充稱，上述廢棄代碼會在下一次更新中刪除，“以示澄清”。

然而，考慮到所有第三方開發者更新SDK所需要的時間，這一安全問題目前依舊存在。在Trend Micro列出的影響最大的20款應用中，就有來自第三方開發者的產品，其中的一些目前仍在Google Play網店中。