天津在线

首页> 科技频道> IT业界> 正文

反思百度SDK后门事件背后的安全业态

近日,自媒体人“互联网边角料”在搜狐媒体平台发文爆料。文章以百度系APP的漏洞问题为引,对整个互联网行业的安全态度进行了鞭辟入里的反思。以下为文章原文:

11月3日,趋势科技发布报告称,百度提供的一个软件开发包(SDK)被曝光存在后门,而黑客可以利用这一后门入侵用户的设备。这一SDK被用在了数千款Android应用中,这一SDK名为Moplus。尽管没有公开发布,但这一SDK被集成至超过1.4万个应用,其中只有约4000个应用为百度开发。

趋势科技估计,受影响的应用被超过1亿用户使用。根据该公司的分析,Moplus SDK在用户设备上启动了HTTP服务器。这一服务器没有使用任何验证机制,会接受互联网上任何人的请求。

这是一则出口转内销的旧闻,因为10多天前乌云平台已经爆了这个漏洞。

据乌云网透露,百度全系安卓APP都处在一个名为“WormHole (虫洞)”的安全漏洞威胁之下,只要安卓设备联网,黑客就能对设备实现遥控并安装指定应用。同时,黑客还能够改写通讯录信息,并冒充联系人向被攻击手机发送隐私短信和照片、弹出对话框显示广告及钓鱼链接等。目前百度已公开承认了该漏洞,并表示“此漏洞已知晓且mo + sdk已修复”。

之前的苹果Xcode事件已经说明,没有完美无缺的系统,也没有确保没有漏洞的系统和软件,漏洞以及由此引发的严酷的安全隐患、风险威胁,已成为互联网公司的共同面临的问题,漏洞不可怕,关键是我们在漏洞出现之后的处理方式,这也一定程度上反映了当下中国的安全业态。

其实虫洞漏洞早在10月14日就已经在乌云平台提交,百度也很快确认并进行了修复。而在10月28日,来自阿里研究院两位工程师在微博及乌云发布了详细的漏洞分析报告,让这个漏洞再次被爆炒,从各种迹象看这份报告具有明显的炒作意味,文风也非技术风格,也许初期两位工程师只是出于技术和职业本能做了分析,本应只是用于技术交流的这份分析报告,在阿里强大舆论能力推动下,让百度的这个漏洞成为轰动全球的后门事件。

而从解决问题的角度看,从乌云提交漏洞到百度修复漏洞的这个过程是一个正常的解决安全问题的流程,在这个过程中阿里可以帮助百度更好地修复和解决问题,而不是隔岸观火式的旁观,更不应该是事后推波助澜式的传播和恐吓,让这个漏洞演变成了百度的一场安全灾难。

更有意思的是,阿里在成功让百度被吊打的同时,在最近的一次安全会议上,阿里巴巴安全部副总裁与百度首席安全科学家还在一起大谈安全价值观,谈产业合作。不知道二者在圆桌会议下,是否就虫洞事件的处理过程进行一番交流。

“嘴边天花乱坠,腹中矛戟森然。”朱自清的这一句话,用在国内互联网界倒也不遑多让。嘴上在各大安全会议中高谈阔论价值观、共建安全互联网络新生态,背地里却在竞争对手的大坝上凿坑。长此以往,所谓的共建安全生态无非是黄粱一梦。

版权声明

一、凡注明来源为"天津在线"的所有作品文字、图片、音视频、美术设计和程序等作品,版权均属天津在线或相关权利人专属所有或持有所有。

二、未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。否则以侵权论,依法追究相关法律责任。

三、凡本网注明"来源:XXX(非天津在线)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

四、转载声明:如本网转载作品涉及版权等问题,请在作品于本网发表之日起30日内及时同本网联系,否则视为放弃相关权利。

免责声明:本文仅代表作者个人观点,与天津在线无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们删除:jubao@72177.com

今日天津