100 triệu thiết bị rủi ro với Backdoor trong Baidu Android SDK
Máy tìm kiếm thay thế Google tại Trung Quốc Baidu hiện đang cung cấp một bộ công cụ phát triển phần mềm Android SDK chứa backdoor truy cập vào thiết bị người dùng. Gần 100 triệu thiết bị có nguy cơ bị tấn công với các nhân tố độc hại. Bộ Android SDK Moplus không được công khai nhưng bằng cách ...
Máy tìm kiếm thay thế Google tại Trung Quốc Baidu hiện đang cung cấp một bộ công cụ phát triển phần mềm Android SDK chứa backdoor truy cập vào thiết bị người dùng. Gần 100 triệu thiết bị có nguy cơ bị tấn công với các nhân tố độc hại.
Bộ Android SDK Moplus không được công khai nhưng bằng cách nào đó đã tạo ra hơn 14,000 ứng dụng và trong đó có khoảng 4,000 app do Baidu tạo ra. Theo thống kê, đã có hơn 100 triệu người dùng tải các ứng dụng này về thiết bị của mình.
Các nhà nghiên cứu Trend Micro đã phát hiện ra một lỗ hổng trong Moplus SDK có tên Wormhole, cho phép tin tặc thực hiện kết nối máy chủ HTTP kém bảo mật và không xác thực đến thiết bị. Khai thác làm việc dưới nền mà người dùng không hề hay biết.
Máy chủ không an toàn không hề sử dụng xác thực và chấp nhận truy cập từ bất kỳ ai trên Internet. Thông qua đó, tin tặc sẽ gửi request đến một cổng ngầm để thực hiện lệnh trên thiết bị. Hiện tại Moplus SDK sử dụng cổng 6259 hoặc 40310 để thực hiện hành vi độc hại trên thiết bị Android bao gồm:
- Gửi tin nhắn SMS
- Thực hiện cuộc gọi
- Lấy chi tiết thông tin điện thoại
- Thêm danh bạ
- Lấy danh sách các ứng dụng
- Tải file về thiết bị
- Upload file từ thiết bị
- Cài đặt ngầm các ứng dụng khác (nếu thiết bị đã root)
- Đẩy về quảng cáo
- Lấy vị trí …
Do SDK này tự động cài đặt máy chủ web khi ứng dụng được mở, tin tặc chỉ việc quét mạng di động với cổng 6259 hoặc 40310 để tìm ra thiết bị bị ảnh hưởng. Lỗ hổng này dễ khai thác hơn Stagefright do không cần yêu cầu bất kì hành động nào của người dùng để lây nhiễm mã độc.
Các nhà nghiên cứu đã báo cáo lỗ hổng để Baidu cũng như Google. Baidu đã thực hiện loại bỏ một số hàm trong phiên bản SDK mới nhưng vẫn còn tồn tại nhiều máy chủ HTTP hoạt động.
Đây không phải là lần đầu tiên các công ty Trung Quốc dính dáng đến việc phát tán SDK độc hại. Chỉ một vài ngày trước Taomike SDK – một trong những giải pháp quảng cáo lớn nhất Trung Quốc cũng đã bị phát hiện theo dõi SMS người dùng và tải lên máy chủ. Một vài SDK khác như Youmi ảnh hưởng đến 256 ứng dụng iOS vì sử dụng API riêng thu thập dữ liệu cá nhân…
THN