В комплекте Moplus SDK, который китайская поисковая система Baidu предоставляет разработчикам приложений, зафиксирован опасный баг, которому подвержено около 100 миллионов Android-устройств.
Уязвимость в SDK была зафиксирована экспертами из WooYun, а затем подтверждена специалистами компании Trend Micro. Баг получил название Wormhole.
При обращении пользователя к приложению, для разработки которого применялся Moplus, SDK автоматически осуществляет запуск на этом устройстве локального HTTP-сервера, функционирующего в фоновом режиме.
Благодаря этому, атакующий мог дистанционно установить соединение с этим HTTP-сервером путем отправки команд на определенные порты. При этом аутентификация была не нужна. В результате у злоумышленников появлялся доступ к информации о местонахождении пользователя и данным из поисковых панелей. Хакеры также могут удаленно загружать файлы и контакты на целевое устройство или с него. Используя команду sendintent, можно без ведома пользователя осуществлять телефонные звонки, отправку сообщений и установку любых приложений. У Moplus SDK также имеется поддержка скрытной установки APK на устройства с root-доступом.
Как утверждают в Trend Micro, обнаруженная брешь может быть даже опаснее Stagefright, поскольку использовать ее куда проще, в частности, не нужно прибегать к социальной инженерии. Специалистами уже были замечены признаки использования данной уязвимости злоумышленниками.
Baidu и Google проинформированы о проблеме. Китайская компания уже выпустила новую версию SDK, из которого была удалена часть функционала. Несмотря на то, что HTTP-сервер продолжает работать, представители Baidu уверяют, что никакой угрозы больше нет. По подсчетам экспертов, количество устройств, на которых установлены приложения с Moplus и опасным багом, достигает 100 миллионов.