百度接连受挫 又被曝光SDK安全漏洞

百度,目前全球最大的中文搜索引擎同时也是最大的中文网站。在此之前,小编对百度也是充满了崇敬和感恩之心。想要搜索什么,问度娘;想要了解什么,百度一下你就知道;想要放松,听百度音乐;想要浏览图片,百度图片让你尽收眼底.....

可是近来,百度接连被曝光存在安全漏洞。大概一周前,乌云漏洞平台爆料称苹果旗下产品如百度地图、百度贴吧、百度视频、百度音乐等多款App存在WormHole漏洞,而且也得到了百度官方的证实。好在百度旗下产品团队紧急修复了漏洞,所幸没有造成非常严重的后果。

但日前美国安全公司趋势科技表示,百度开发的另外一个SDK(开发包工具)被发现存在安全漏洞,给黑客留下了可乘之机,导致黑客可以在安卓手机上上传恶意程序并且能够执行这些程序。趋势科技发现这一漏洞后已经紧急告知了百度和谷歌。预计该漏洞可导致全球一亿部安卓手机受到影响。

据悉,存在安全漏洞的开发包工具名为“Moplus”,虽然没有向普通用户开放,但根据统计结果显示目前已经在1.4万个手机软件中被使用,其中的4000个软件是由百度公司参加开发的。

趋势科技称,存在安全漏洞的SDK,会在安装感染程序的智能手机上,运行一个HTTP服务器程序,这个服务器程序不会对访问者进行身份验证,接收来自互联网上所有人的访问请求。

这个HTTP服务器是隐藏的,网络黑客可以通过该服务器执行恶意程序,还可以从智能手机上收集个人隐私信息,包括地理位置、搜索历史。此外,还能在通讯录中增加记录、拨打电话以及安装其他的恶意程序等。(这听起来真的让人很不爽!)如果你的安卓手机获得了ROOT权限,非常遗憾地告诉你,这个SDK可以完全在隐蔽状态下安装软件,而你却完全不知道自己的手机上被安装了流氓软件。据了解,目前已经有其他的蠕虫利用这一漏洞在手机上安装恶意程序,其中就包括一个名为ANDROIDOS_WORMHOLE.HRXA的流氓软件。

趋势科技表示,此次百度出现的安全漏洞问题十分糟糕。黑客要想通过这一漏洞进行攻击,只需要对网络上的设备进行扫描,从而发现Moplus的HTTP服务器,然后就可以进行连接发动攻击。

据称,百度已经发布了新版本的SDK,但是上述HTTP服务器依然可以打开,一些其他功能仍然可被黑客利用。

百度公司的一名代表对外称,10月30日之前报告给公司的安全漏洞,目前全部都得到了解决。这名代表还表示,百度的SDK工具中不存在后门。另外在一些百度手机App的更新版本中,公司将会删除一些代码。

实际上,在互联网三巨头(百度、阿里巴巴和腾讯,简称“BAT”)的竞争中,百度明显落后于阿里巴巴和腾讯。在PC互联网向移动互联网转型的过渡阶段,百度出现了动作迟钝、转型缓慢的问题。甚至有些人还认为,互联网巨头将会从“BAT”转变为“AT”。

目前,百度搜索被很多消费者称为网络营销人员的“乐园”,搜索结果充斥着各种营销网页和欺骗搜索机器人的“垃圾信息”网页,对于寻找真正有价值信息的难度越来越大。面对这种情况,希望百度能够接受民意,有所改变,而不是一味地成为“营销”引擎或“垃圾”引擎,这样做的结果只能是百害而无一利。