百度的SDK被爆存在漏洞,致多款手机应用的信息可被窃取|11月3日坏消息榜
关注钛媒体每日、每月整理发布的行业坏消息榜,一榜略尽当日当月最具影响的坏消息。
今日有消息称美国一家安全公司趋势科技,发现百度开发的另外一个SDK(开发包工具)存有安全漏洞,给黑客留下了后门,黑客可以在安卓手机上上传恶意程序,并且执行程序,而这一SDK被用在了数千款Android应用中。
趋势科技的信息安全研究人员表示,这一SDK名为Moplus。尽管没有公开发布,但这一SDK被集成至超过1.4万个应用,其中只有约4000个应用为百度开发。趋势科技估计,受影响的应用被超过1亿用户使用。根据该公司的分析,Moplus SDK在用户设备上启动了HTTP服务器,这一服务器没有使用任何验证机制,会接受互联网上任何人的请求。
更糟糕的是,通过向这一隐藏的HTTP服务器发送请求,攻击者可以执行SDK中预定义的命令。这意味着攻击者可以获得位置数据和搜索关键词等敏感信息,并执行新增联系人、上传文件、拨打电话、显示伪造消息,以及安装应用等操作。
在被root的Android设备上,这一SDK允许应用的静默安装。这意味着,用户在没有看到任何确认消息的情况下,应用就可能被安装至设备。实际上,趋势科技的研究人员已经发现了一种蠕虫病毒,利用这一后门安装用户不需要的应用。这一恶意软件名为ANDROIDOS_WORMHOLE.HRXA。
趋势科技也表示,目前已经向百度和谷歌(微博)两家公司通知了这一漏洞的存在,但从多个方面来看,Moplus漏洞都要比今年早些时候Android Stagefright库中发现的漏洞更严重。利用后一漏洞,攻击者至少需要向用户手机发送恶意的多媒体消息,或是欺骗用户打开恶意链接。而如果希望利用Moplus漏洞,那么攻击者可以扫描整个移动互联网,寻找Moplus HTTP服务器开启的IP地址。
虽然百度已经发布了新版SDK,删除了一些命令。但趋势科技表示,HTTP服务器目前仍会开启,而一些功能仍可能被滥用。
百度一名发言人表示,百度已修复了10月30日报告给该公司的所有信息安全漏洞。“关于趋势科技最新报告的可能存在问题的其余代码,在我们的修复之后已成为无用代码,不会产生影响。”这名发言人表示,百度没有提供“后门”。而在该公司的下一版应用中,这些未激活代码将会被删除。
不过目前的问题在于,第三方开发者将会在多长时间内用最新SDK去升级自己的应用。趋势科技列出的前20大受影响应用中包括非百度开发的应用,而其中有一些仍在谷歌Play中提供下载。
据外媒报道,在移动互联网时代,传统的网页搜索引擎已经成为逐步萎缩的“午后产业”,搜索次数出现了大幅度下降,消费者更多使用垂直类的各种手机软件搜索各种信息,而不是低效率的网页搜索。
今日坏消息榜单 NO.2-NO.8
去年网购正品率仅58.7% 投诉增长超三倍
全国人大常委会审议的全国人大常委会执法检查组关于检查《中华人民共和国消费者权益保护法》实施情况的报告显示,近年我国电子商务发展迅猛,网络消费成为消费侵权案件多发领域。据国家工商总局抽查,2014年的网购正品率只有58.7%。报告直言“法律规定的一些内容还没有真正‘落地’”,并就法律的实施贯彻问题提出了建议。报告指出,网络零售交易额以每年40%以上的速度增长,2014年达到2.8万亿元。据商务部反映,互联网领域侵犯消费者合法权益、制售假冒伪劣商品等违法犯罪行为突出,已经成为侵权假冒的重点环节。一是质量不合格和假冒现象比较严重,二是投诉和案件增长迅速。
据媒体报道,关于最近滴滴取得网络约租车经营资格证及媒体所说的上海试点“政府管平台、平台管车辆”的问题,上海市交委回复称给滴滴快的公司颁发的证书尚未生效,目前无合法专车。上海交委牵头市运管处及执法大队在运管处会议室召开出租行业驾驶员座谈会,上海交委在回答媒体问时表示,滴滴快的取得《网约车经营资格证》仅仅是平台拥有网络约租车的平台方具有的经营资格证,不具有对车辆及人员审核的权利,现在没有权利,以后也没有权利。至于媒体所说的上海将出租汽车额度交由平台审核完全是断章取义误导民众。上海交委相关负责人表示,目前上海市尚未对网络约租车车辆的发展进行确定的规划,比如车型、计价模式、收费模式等都未确定下来。所以,这张滴滴公司的经营资格证现在尚未生效。
李嘉诚拟143亿收购英电信运营商 遭反垄断调查
欧盟对李嘉诚名下和记黄埔有限公司收购英国电信运营商股权进行反垄断调查,监管部门警告:交易或导致英国移动通讯服务价格升高、消费者选择变少。此前,和记黄埔“抄底英国”,宣布将以92.5亿英镑从西班牙电信巨头Telefonica SA手中收购英运营商O2全部股权。据《华尔街日报》报道,欧盟反垄断监管部门已开始全面调查Telefonica SA以143亿美元将英国手机运营商O2出售给和记黄埔的交易计划。欧盟委员会上周五称,这桩合并交易将诞生出英国最大的移动网络运营商,欧委会担心交易可能会消除一个重要的竞争力量,合并后的实体恐将缺乏动机向其他对手施加重要的竞争压力。
有消息称新浪已全面停止社会招聘,在启动业务整合和业务优化。且最近投资界不断有消息传出,新浪将整体卖身阿里巴巴,停止社招甚至裁员是为控制成本,获得较好的卖价。据爆料称,新浪没有像百度和苏宁那样大张旗鼓地发全员邮件,而是由HR和主管通过口头方式传达。新浪内部人士说:“反正吧,我们想申请招人时,就被HR直接拒了,说没有岗位了,冻结了。至于什么时候解冻吗,不知道了。” 另有消息称,新浪门户业务可能开始进行业务整合,并优化人员。而新浪近日停止社招的消息应和了投资界关于新浪整体卖身阿里巴巴的传闻。
Uber崛起致伦敦最大出租车司机培训学校关门
据国外媒体报道,由于打车应用Uber的迅猛崛起,英国伦敦最大的黑色出租车司机培训学校决定于12月份关闭。位于伦敦伊斯灵顿的黑色出租车司机培训学校Knowledge Point已经创建26年。无数准出租车司机在这里了解伦敦公路状况,以便掌握英国首都最快捷的路径。可是到12月份,这家学校即将关闭。自从2012年私人打车应用Uber成立以来,需要接受专门出租车驾驶技能培训的人日益减少,而且物业费用也急剧上涨。Knowledge Point创始人马尔科姆·林赛表示:“自从Uber成立以来,我们的需求就开始下降。通常我们每年有350名学员入校,但去年只有200人。”为了获得绿色徽章,以便能够驾驶伦敦著名的黑色出租车,司机们必须通过Knowledge Point的培训和考试,包括记住伦敦25000条街道,这被视为世界上最难的考试之一。
港媒:中国山寨让16G版iPhone轻松升级128GB
港媒称,美国苹果iPhone再被内地山寨技术兵团攻陷,透过系统验证漏洞,即可将记忆体由16GB“人手升级”至128GB。手机店家宣称只需一小时, 便可完成升级程序,费用亦仅580元人民币,较原来两者差1600元“激减”。苹果中国暂未有回应事件,未知会否出招堵塞漏洞。有维修店职员称,此前没法“升级”,因现时晶片的序列号需与IMEI码(手机序列号)相符,才能通过手机系统验证。近期有人研究出,以硬碟序列号读写器,将旧记忆体晶片的资料直接写入新晶片中,从而通过手机验证。苹果高容量手机价格一直高企,原因与不容许加插记忆卡有关,消费者为免手机容量不足,往往会购买高容量版本的iPhone。但随着破解出人手升级,有分析认为,苹果公司的利润或将被严重压制,而16GB手机或更受炒家追捧。
电视购物被曝退货难 中消协:超9成涉违规
在中消协发布《电视购物服务测评报告》中,被评价的120条电视购物宣传信息中,有111条不同程度存在涉嫌违反相关法律规定和指导性文件的问题。中消协提醒广大消费者,在参与电视购物时,强化风险防范意识,在购物后主动索取购物凭证。中消协组织工作人员以普通消费者的身份于7月至8月,对33家卫视购物栏目和12家专业购物频道的宣传信息进行录制进现场订购产品,重点体验了“七天无理由退货服务”。退货服务体验结果显示,卫视购物栏目有43款未成功退货,专业购物频道有4款未成功退货。此外,卫视购物栏目购物发票和购物单据缺失严重,多数卫视购物栏目购物流程繁琐,没有明确专门售后服务电话,另外还存在多起违规拒绝退货问题。【张娜/钛媒实习编辑】