域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

前兩天微信朋友圈被趨勢(shì)科技報(bào)百度安卓后門的帖子刷屏了，各類公關(guān)稿隊(duì)形之整齊，隊(duì)伍之龐大，聲勢(shì)之浩大，在公眾目光里絕不輸給上次xcodeghost事件。雖說(shuō)發(fā)生一個(gè)波及面較大(app數(shù)量和應(yīng)用數(shù)量)以及危害較高的漏洞值得注意， 然而這次由于發(fā)生在一家具有行業(yè)影響力的巨頭企業(yè)身上，一系列后門說(shuō)、流氓說(shuō)、陰謀說(shuō)就全來(lái)了。要知道曾經(jīng)的心臟流血給全球互聯(lián)網(wǎng)帶來(lái)了巨大影響后，openSSL換來(lái)的可是老羅的捐贈(zèng)和極客圈的同情。

作為一個(gè)安全圈的專業(yè)混子，我個(gè)人的觀點(diǎn)是--百度SDK的漏洞是一件悲劇，如果就這么認(rèn)為它是后門或是陰謀的話，那會(huì)是另一個(gè)悲劇。 這就好比出軌是一件悲劇，如果你因此就不相信愛(ài)情的話，那你是另一個(gè)悲劇。

先說(shuō)一下百度moplus是個(gè)什么東西。moplus是一套安卓的SDK，它的作用是讓移動(dòng)應(yīng)用通過(guò)這個(gè)SDK，曾經(jīng)用戶的交互體驗(yàn)。比如用戶需要定位一個(gè)位置，或是在應(yīng)用內(nèi)發(fā)現(xiàn)一個(gè)商戶，需要快速添加到通訊錄或是撥打電話，通過(guò)這個(gè)SDK就可以快速達(dá)成。同類的SDK有比如個(gè)推(實(shí)現(xiàn)消息推送)或是環(huán)信(應(yīng)用內(nèi)即時(shí)通訊)等。SDK本身是一個(gè)中立的詞匯，不屬于后門。

為什么會(huì)被人認(rèn)為是后門呢? 幾個(gè)帖子里的主要論點(diǎn)是：

1. 內(nèi)置HTTP服務(wù)器。

2. 接口功能過(guò)于強(qiáng)大，以至于被惡意利用后可以操作的事情過(guò)多。

首先說(shuō)一下內(nèi)置HTTP服務(wù)器， 這東西在安卓其實(shí)挺常見(jiàn)，并沒(méi)有違反任何條例，這樣干的app本身或是第三方插件多了去了，所以內(nèi)置HTTP服務(wù)器本身并沒(méi)有太大問(wèn)題， 記得7月份烏云也有過(guò)一個(gè)百度SDK漏洞就描述過(guò)百度有一個(gè)SDK是開(kāi)7777端口的，直到上個(gè)月底被公開(kāi)，也沒(méi)有太大的反響，因?yàn)槲：Σ⒉桓?，而且很快就修?fù)了。

那么最主要的問(wèn)題就是接口過(guò)于強(qiáng)大，導(dǎo)致一旦有了安全問(wèn)題后可被利用的功能過(guò)強(qiáng)，惡意利用者可以造成巨大的損害。 這就好比你負(fù)責(zé)看守一些很重要的財(cái)物的時(shí)候，一旦這些財(cái)物被打劫了，你就有很容易被認(rèn)為是里應(yīng)外合。

moplus比較重要的接口有哪些呢? 我例舉一下備受爭(zhēng)議的幾條：

添加通訊錄功能：addcontactinfo

用戶通過(guò)搜索結(jié)果搜索出一個(gè)商戶信息，在搜索結(jié)果頁(yè)中可以顯示這個(gè)商戶的聯(lián)系方式，通過(guò)搜索結(jié)果頁(yè)可以快速的添加商戶電話號(hào)碼到通訊錄。

這個(gè)功能應(yīng)該算是一個(gè)合理的功能，被惡意利用的話有一定的危害但是還不至于造成損失。

獲取用戶安裝列表：getapplist

用戶通過(guò)搜索結(jié)果搜索出一個(gè)視頻，在搜索結(jié)果頁(yè)中需要獲得用戶安裝的視頻軟件信息，當(dāng)用戶點(diǎn)擊視頻檢索時(shí)可以使用指定的視頻播放器打開(kāi)這個(gè)視頻。

這個(gè)東西是最受爭(zhēng)議的，因?yàn)槿绻鶒阂鈦?lái)說(shuō)的話，可以說(shuō)在收集你所下載了哪些應(yīng)用的數(shù)據(jù)，牽涉到隱私。但是對(duì)用戶來(lái)說(shuō)損害是較小的，可以帶來(lái)很多方便。這一點(diǎn)仁者見(jiàn)仁智者見(jiàn)智。

獲取用戶的地理位置信息：geolocation

用戶通過(guò)搜索結(jié)果頁(yè)搜索美食，電影等，在搜索結(jié)果頁(yè)中需要獲取用戶的位置屬性，根據(jù)用戶的屬性把用戶周邊的美食，電影展現(xiàn)在搜索結(jié)果頁(yè)中。

這一點(diǎn)也是被攻擊的較多的， 這個(gè)功能是很常見(jiàn)的，對(duì)于很多人來(lái)說(shuō)也是必須的，我覺(jué)得大可不必被認(rèn)為侵犯隱私，你使用打車或是其他O2O軟件的時(shí)候也會(huì)顯示當(dāng)前位置的，真要被用來(lái)追殺或是催債你也沒(méi)轍。

下載文件到指定目錄：downloadfile

用戶通過(guò)搜索結(jié)果頁(yè)查找應(yīng)用，找到對(duì)應(yīng)的搜索結(jié)果，點(diǎn)擊安裝按鈕，可以實(shí)現(xiàn)下載功能，下載完成后，如果用戶的手機(jī)存在root權(quán)限，會(huì)自動(dòng)靜默安裝，如果不存在root權(quán)限，會(huì)彈出系統(tǒng)安裝界面安裝

這個(gè)東西看起來(lái)是最重量級(jí)的，然而目前的結(jié)果來(lái)看，并未有人利用這一功能做出任何影響用戶強(qiáng)裝強(qiáng)卸軟件的行為。

以上的接口功能在未爆出安全漏洞之前就一直存在，也沒(méi)有被app投訴過(guò)侵犯隱私等，所以當(dāng)SDK是默認(rèn)安全可信的前提下，這些并不是惡意接口。 然而由于輿論壓力過(guò)大，百度還是下線了moplus。

有時(shí)候人們?cè)诓幻髡嫦嗟臅r(shí)候總是容易先入為主扣一個(gè)帽子，從而省去思考的成本， 可是安全是一門藝術(shù)，更是一門科學(xué)，科學(xué)要的就是用嚴(yán)謹(jǐn)?shù)倪壿嬋シ治?，論證，而不是人云亦云， 長(zhǎng)期下來(lái)企業(yè)就不得不用公關(guān)團(tuán)隊(duì)去壓制漏洞而非從技術(shù)上正面去面對(duì)， 在我看來(lái)，這才是最大的悲劇。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！