Çinli internet devi Baidu tarafından oluşturulmuş ve binlerce Android uygulaması tarafından kullanılan bir yazılım geliştirme kitinin, sadırganların cihazlara arka kapı erişimi sağlayabileceği bir özellik içerdiği ortaya çıktı.
Trend Micro güvenlik araştırmacıları, Pazar günü yayınladıkları bir blog yazısında genel erişime açık olmayan Moplus ismindeki SDK'nın, 4 bini Baidu tarafından oluşturulmuş 14 bin uygulamaya entegre edildiğini açıkladı. Şirket etkilenen uygulamaların 100 milyondan fazla kullanıcı tarafından kullanılmakta olduğunu tahmin ediyor.
Trend Micro'nun analizine göre Moplus SDK, etkilenen cihazlarda bir HTTP sunucusu açıyor. Ancak bu sunucu kimlik doğrulaması kullanmadığından internetten gelen tüm istekleri kabul edebiliyor.
Daha da kötüsü saldırganların bu gizli HTTP sunucusuna istekler göndererek SDK'ya önceden tanımlanmış komutları çalıştırabilmesinin mümkün olması. Bunlar, konum verileri ve arama sorguları gibi hassas bilgileri elde etmenin yanı sıra yeni kişi oluşturma, dosya yükleme, telefon görüşmeleri yapma, sahte mesaj görüntüleme ve uygulama yüklemek için de kullanılabilir.
Trend Micro araştırmacıları daha şimdiden istenmeyen uygulamaları yükleyebilmek için bu arka kapıyı istismar edebilen bir solucan da tespit etmiş durumda. Kötü amaçlı yazılım ANDROIDOS_WORMHOLE.HRXA olarak algılanıyor.
Şirket bu güvenlik sorunu hakkında Baidu ve Google'a gerekli bilgiyi verdiğini açıkladı. Baidu bazı komutları kaldırarak SDK'nın yeni bir sürümünü yayınladı ancak Trend Micro araştırmacıları HTTP sunucusunun hala açıldığını ve bazı işlevlerin hala istismar edilebilir durumda olduğunu ifade ediyor.
Ancak asıl soru geliştiricilerin SDK'nın yeni sürümü ile uygulamalarını ne kadar hızlı güncelleyeceği. Trend Micro'nun etkilenen uygulamalar listesinde yer alan ve Baidu dışındaki geliştiriciler tarafından oluşturulmuş uygulamaların bazılarının hala Google Play üzerinde yer alıyor olması, tehlikenin henüz geçmediğini gösteriyor. Ancak bu uygulamaların bir listesi yayınlanmış değil.