百度被曝强制接入SDK 或与“全家桶”事件有关
11 月 13 日晚间消息,有开发者在知乎称,11 月 4 日至 11 月 10 日间,百度手机助手强制要求接入百度 SDK,且接入该 SDK 就必须接入百度的广告联盟 SDK。不过最新消息称,百度手机助手已经与 11 月 11 日放弃了强制安装 SDK。
有相关爆料者称,上周 App 发新版本,上传到市场的时候唯有百度手机助手未能审核通过,并收到百度关于未能审核通过原因的邮件,内容为:
尊敬的开发者您好,欢迎联系百度客服中心!
由于目前存在较多恶意应用采取“版本升级”的方式,规避百度审查机制,推送恶意行为,严重损害用户利益,而现有技术暂时无法准确判断应用是否有自己升级的能力,故上线 App 需要接入自动更新 SDK,以制止目前存在的恶意情况。
当前提交的版本我们将先予通过,您需要在当前版本通过的三天内完成对自动更新 SDK 的添加并提交审核,此期限后 SDK 还未更新我们将下线该版本。
可以接受的话,请您提供包名、用户 ID 进行审核。
再次感谢您的支持与理解。如果您还有任何疑问,请直接回复此邮件,我们会积极解答直至您满意。
百度方面称,此举与之前百度安卓开发工具漏洞有关,后来已经发声明并已修复,现在已能正常使用。 据悉,百度方面所称的开发者工具漏洞指的是上周被曝的“后门”门,即百度提供的一个软件开发包(SDK)被曝光存在后门,而黑客可以利用这一后门入侵用户的设备。这一 SDK 被用在了数千款 Android 应用中。趋势科技的信息安全研究人员上周二表示,这一 SDK 名为 Moplus。尽管没有公开发布,但这一 SDK 被集成至超过 1.4 万个应用,其中只有约 4000 个应用为百度开发。
据悉,百度方面所称的开发者工具漏洞指的是上周被曝的“后门”门,即百度提供的一个软件开发包(SDK)被曝光存在后门,而黑客可以利用这一后门入侵用户的设备。这一 SDK 被用在了数千款 Android 应用中。趋势科技的信息安全研究人员上周二表示,这一 SDK 名为 Moplus。尽管没有公开发布, 但这一 SDK 被集成至超过 1.4 万个应用,其中只有约 4000 个应用为百度开发。
直白来说,这一 SDK 的严重威胁在于:在被 root 的 Android 设备上,这一 SDK 允许应用的静默安装。这意味着,用户在没有看到任何确认消息的情况下,应用就可能被安装至设备。实际上,趋势科技的研究人员已经发现了一种蠕虫病毒,利用这一后门安装用户不需要的应用。这一恶意软件名为 ANDROIDOS_WORMHOLE.HRXA。
在此事件爆发后,也有网友将此称为“百度全家桶”事件。
不过,百度一名发言人表示,百度已修复了 10 月 30 日报告给该公司的所有信息安全漏洞。此外,这名发言人还表示,百度没有提供“后门”。而在该公司的下一版应用中,这些未激活代码将会被删除。
正文到此结束
热门推荐
相关文章
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
