當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

百度moplus事件的幕后“黑手”到底是什么?

 2015-11-09 16:22  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

前兩天微信朋友圈被趨勢科技報百度安卓后門的帖子刷屏了,各類公關(guān)稿隊形之整齊,隊伍之龐大,聲勢之浩大,在公眾目光里絕不輸給上次xcodeghost事件。雖說發(fā)生一個波及面較大(app數(shù)量和應(yīng)用數(shù)量)以及危害較高的漏洞值得注意, 然而這次由于發(fā)生在一家具有行業(yè)影響力的巨頭企業(yè)身上,一系列后門說、流氓說、陰謀說就全來了。要知道曾經(jīng)的心臟流血給全球互聯(lián)網(wǎng)帶來了巨大影響后,openSSL換來的可是老羅的捐贈和極客圈的同情。

作為一個安全圈的專業(yè)混子,我個人的觀點是--百度SDK的漏洞是一件悲劇,如果就這么認(rèn)為它是后門或是陰謀的話,那會是另一個悲劇。 這就好比出軌是一件悲劇,如果你因此就不相信愛情的話,那你是另一個悲劇。

先說一下百度moplus是個什么東西。moplus是一套安卓的SDK,它的作用是讓移動應(yīng)用通過這個SDK,曾經(jīng)用戶的交互體驗。比如用戶需要定位一個位置,或是在應(yīng)用內(nèi)發(fā)現(xiàn)一個商戶,需要快速添加到通訊錄或是撥打電話,通過這個SDK就可以快速達(dá)成。同類的SDK有比如個推(實現(xiàn)消息推送)或是環(huán)信(應(yīng)用內(nèi)即時通訊)等。SDK本身是一個中立的詞匯,不屬于后門。

為什么會被人認(rèn)為是后門呢? 幾個帖子里的主要論點是:

1. 內(nèi)置HTTP服務(wù)器。

2. 接口功能過于強(qiáng)大,以至于被惡意利用后可以操作的事情過多。

首先說一下內(nèi)置HTTP服務(wù)器, 這東西在安卓其實挺常見,并沒有違反任何條例,這樣干的app本身或是第三方插件多了去了,所以內(nèi)置HTTP服務(wù)器本身并沒有太大問題, 記得7月份烏云也有過一個百度SDK漏洞就描述過百度有一個SDK是開7777端口的,直到上個月底被公開,也沒有太大的反響,因為危害并不高,而且很快就修復(fù)了。

那么最主要的問題就是接口過于強(qiáng)大,導(dǎo)致一旦有了安全問題后可被利用的功能過強(qiáng),惡意利用者可以造成巨大的損害。 這就好比你負(fù)責(zé)看守一些很重要的財物的時候,一旦這些財物被打劫了,你就有很容易被認(rèn)為是里應(yīng)外合。

moplus比較重要的接口有哪些呢? 我例舉一下備受爭議的幾條:

添加通訊錄功能:addcontactinfo

用戶通過搜索結(jié)果搜索出一個商戶信息,在搜索結(jié)果頁中可以顯示這個商戶的聯(lián)系方式,通過搜索結(jié)果頁可以快速的添加商戶電話號碼到通訊錄。

這個功能應(yīng)該算是一個合理的功能,被惡意利用的話有一定的危害但是還不至于造成損失。

獲取用戶安裝列表:getapplist

用戶通過搜索結(jié)果搜索出一個視頻,在搜索結(jié)果頁中需要獲得用戶安裝的視頻軟件信息,當(dāng)用戶點擊視頻檢索時可以使用指定的視頻播放器打開這個視頻。

這個東西是最受爭議的,因為如果往惡意來說的話,可以說在收集你所下載了哪些應(yīng)用的數(shù)據(jù),牽涉到隱私。但是對用戶來說損害是較小的,可以帶來很多方便。這一點仁者見仁智者見智。

獲取用戶的地理位置信息:geolocation

用戶通過搜索結(jié)果頁搜索美食,電影等,在搜索結(jié)果頁中需要獲取用戶的位置屬性,根據(jù)用戶的屬性把用戶周邊的美食,電影展現(xiàn)在搜索結(jié)果頁中。

這一點也是被攻擊的較多的, 這個功能是很常見的,對于很多人來說也是必須的,我覺得大可不必被認(rèn)為侵犯隱私,你使用打車或是其他O2O軟件的時候也會顯示當(dāng)前位置的,真要被用來追殺或是催債你也沒轍。

下載文件到指定目錄:downloadfile

用戶通過搜索結(jié)果頁查找應(yīng)用,找到對應(yīng)的搜索結(jié)果,點擊安裝按鈕,可以實現(xiàn)下載功能,下載完成后,如果用戶的手機(jī)存在root權(quán)限,會自動靜默安裝,如果不存在root權(quán)限,會彈出系統(tǒng)安裝界面安裝

這個東西看起來是最重量級的,然而目前的結(jié)果來看,并未有人利用這一功能做出任何影響用戶強(qiáng)裝強(qiáng)卸軟件的行為。

以上的接口功能在未爆出安全漏洞之前就一直存在,也沒有被app投訴過侵犯隱私等,所以當(dāng)SDK是默認(rèn)安全可信的前提下,這些并不是惡意接口。 然而由于輿論壓力過大,百度還是下線了moplus。

有時候人們在不明真相的時候總是容易先入為主扣一個帽子,從而省去思考的成本, 可是安全是一門藝術(shù),更是一門科學(xué),科學(xué)要的就是用嚴(yán)謹(jǐn)?shù)倪壿嬋シ治觯撟C,而不是人云亦云, 長期下來企業(yè)就不得不用公關(guān)團(tuán)隊去壓制漏洞而非從技術(shù)上正面去面對, 在我看來,這才是最大的悲劇。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
百度是什么

相關(guān)文章

  • 百度最新推出的“藍(lán)天算法”內(nèi)容是什么?

    聽到百度最新推出的“藍(lán)天算法”,很多站長開始不淡定了,聽說藍(lán)天算法是史上最嚴(yán)厲的算法,沒有之一。百度新推出的“藍(lán)天算法”內(nèi)容是什么呢?“藍(lán)天算法”主要是為了規(guī)范網(wǎng)站的哪些內(nèi)容呢?

  • 按照正確的優(yōu)化思路做百度優(yōu)化步驟是什么?

    我們知道,百度搜索引擎目前在國內(nèi)是使用人群最多,也是搜索體驗度作的比較好的搜索引擎,深受廣大用戶喜愛,那么當(dāng)然也是我們站長研究的主要對象,很多站長作優(yōu)化非常迷茫,在筆者看來最為關(guān)鍵的因素就是沒有按照正確的思路來進(jìn)行,那么,具體我們要按照怎樣的流程來優(yōu)化站點呢?第一,改變對于搜索引擎排名規(guī)則的認(rèn)識。很

  • 莆田系交戰(zhàn)百度之后 血友吧事件又是什么鬼?百度本可以雙贏

    在商業(yè)化變現(xiàn)這條路上,人們往往會選擇“睜一只眼閉一只眼”,因為都明白“需要靠盈利生存”的道理,所以在視頻網(wǎng)站們紛紛上線廣告時,用戶們煩惱、謾罵但還是忍了;騰訊一再說以用戶體驗為基準(zhǔn)的朋友圈廣告,我們且當(dāng)做笑談,百度的廣告推廣、殺毒全家桶什么的,我們也不過是咒罵一句,勸自己多長點心罷了。但血友吧事件,

  • google、百度SEO排名和淘寶SEO排名的相同點和區(qū)別是什么?

    google、百度和淘寶,其實都是搜索引擎,都依賴搜索引擎對海量的信息,進(jìn)行排序。只是谷歌和百度的針對的人群會更廣泛,而淘寶針對的人群就是一種,需要在網(wǎng)上購物的人。其實還有很多人不明白這些搜索引擎的區(qū)別,更有一些培訓(xùn)機(jī)構(gòu)打著淘寶SEO培訓(xùn)的名號,教給學(xué)員的卻是百度和谷歌SEO的方法,這樣其實很不科學(xué)

  • 百度低調(diào)布局高爾夫行業(yè):葫蘆里賣的是什么藥

    近日,手機(jī)百度悄然進(jìn)軍高爾夫行業(yè),并且推出了相關(guān)的聚合頁面,這是百度低調(diào)殺入了這個領(lǐng)域。目前國內(nèi)有473家高爾夫球場,這個數(shù)量還是比較少,而中國的富人卻越來越多。高爾夫運動絕對是富人們的游戲,但隨著球場數(shù)量的不斷增加,這項運動的門檻也會降低。那個時候一些收入較高的精英人士也能玩高爾夫球,所以這個行業(yè)

    標(biāo)簽:
    百度
    百度是什么
加載更多

熱門排行

信息推薦