前兩天微信朋友圈被趨勢科技報百度安卓后門的帖子刷屏了,各類公關(guān)稿隊形之整齊,隊伍之龐大,聲勢之浩大,在公眾目光里絕不輸給上次xcodeghost事件。雖說發(fā)生一個波及面較大(app數(shù)量和應(yīng)用數(shù)量)以及危害較高的漏洞值得注意, 然而這次由于發(fā)生在一家具有行業(yè)影響力的巨頭企業(yè)身上,一系列后門說、流氓說、陰謀說就全來了。要知道曾經(jīng)的心臟流血給全球互聯(lián)網(wǎng)帶來了巨大影響后,openSSL換來的可是老羅的捐贈和極客圈的同情。
作為一個安全圈的專業(yè)混子,我個人的觀點是--百度SDK的漏洞是一件悲劇,如果就這么認(rèn)為它是后門或是陰謀的話,那會是另一個悲劇。 這就好比出軌是一件悲劇,如果你因此就不相信愛情的話,那你是另一個悲劇。
先說一下百度moplus是個什么東西。moplus是一套安卓的SDK,它的作用是讓移動應(yīng)用通過這個SDK,曾經(jīng)用戶的交互體驗。比如用戶需要定位一個位置,或是在應(yīng)用內(nèi)發(fā)現(xiàn)一個商戶,需要快速添加到通訊錄或是撥打電話,通過這個SDK就可以快速達(dá)成。同類的SDK有比如個推(實現(xiàn)消息推送)或是環(huán)信(應(yīng)用內(nèi)即時通訊)等。SDK本身是一個中立的詞匯,不屬于后門。
為什么會被人認(rèn)為是后門呢? 幾個帖子里的主要論點是:
1. 內(nèi)置HTTP服務(wù)器。
2. 接口功能過于強(qiáng)大,以至于被惡意利用后可以操作的事情過多。
首先說一下內(nèi)置HTTP服務(wù)器, 這東西在安卓其實挺常見,并沒有違反任何條例,這樣干的app本身或是第三方插件多了去了,所以內(nèi)置HTTP服務(wù)器本身并沒有太大問題, 記得7月份烏云也有過一個百度SDK漏洞就描述過百度有一個SDK是開7777端口的,直到上個月底被公開,也沒有太大的反響,因為危害并不高,而且很快就修復(fù)了。
那么最主要的問題就是接口過于強(qiáng)大,導(dǎo)致一旦有了安全問題后可被利用的功能過強(qiáng),惡意利用者可以造成巨大的損害。 這就好比你負(fù)責(zé)看守一些很重要的財物的時候,一旦這些財物被打劫了,你就有很容易被認(rèn)為是里應(yīng)外合。
moplus比較重要的接口有哪些呢? 我例舉一下備受爭議的幾條:
添加通訊錄功能:addcontactinfo
用戶通過搜索結(jié)果搜索出一個商戶信息,在搜索結(jié)果頁中可以顯示這個商戶的聯(lián)系方式,通過搜索結(jié)果頁可以快速的添加商戶電話號碼到通訊錄。
這個功能應(yīng)該算是一個合理的功能,被惡意利用的話有一定的危害但是還不至于造成損失。
獲取用戶安裝列表:getapplist
用戶通過搜索結(jié)果搜索出一個視頻,在搜索結(jié)果頁中需要獲得用戶安裝的視頻軟件信息,當(dāng)用戶點擊視頻檢索時可以使用指定的視頻播放器打開這個視頻。
這個東西是最受爭議的,因為如果往惡意來說的話,可以說在收集你所下載了哪些應(yīng)用的數(shù)據(jù),牽涉到隱私。但是對用戶來說損害是較小的,可以帶來很多方便。這一點仁者見仁智者見智。
獲取用戶的地理位置信息:geolocation
用戶通過搜索結(jié)果頁搜索美食,電影等,在搜索結(jié)果頁中需要獲取用戶的位置屬性,根據(jù)用戶的屬性把用戶周邊的美食,電影展現(xiàn)在搜索結(jié)果頁中。
這一點也是被攻擊的較多的, 這個功能是很常見的,對于很多人來說也是必須的,我覺得大可不必被認(rèn)為侵犯隱私,你使用打車或是其他O2O軟件的時候也會顯示當(dāng)前位置的,真要被用來追殺或是催債你也沒轍。
下載文件到指定目錄:downloadfile
用戶通過搜索結(jié)果頁查找應(yīng)用,找到對應(yīng)的搜索結(jié)果,點擊安裝按鈕,可以實現(xiàn)下載功能,下載完成后,如果用戶的手機(jī)存在root權(quán)限,會自動靜默安裝,如果不存在root權(quán)限,會彈出系統(tǒng)安裝界面安裝
這個東西看起來是最重量級的,然而目前的結(jié)果來看,并未有人利用這一功能做出任何影響用戶強(qiáng)裝強(qiáng)卸軟件的行為。
以上的接口功能在未爆出安全漏洞之前就一直存在,也沒有被app投訴過侵犯隱私等,所以當(dāng)SDK是默認(rèn)安全可信的前提下,這些并不是惡意接口。 然而由于輿論壓力過大,百度還是下線了moplus。
有時候人們在不明真相的時候總是容易先入為主扣一個帽子,從而省去思考的成本, 可是安全是一門藝術(shù),更是一門科學(xué),科學(xué)要的就是用嚴(yán)謹(jǐn)?shù)倪壿嬋シ治?,論證,而不是人云亦云, 長期下來企業(yè)就不得不用公關(guān)團(tuán)隊去壓制漏洞而非從技術(shù)上正面去面對, 在我看來,這才是最大的悲劇。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!