前有XcodeGhost事件讓蘋果手機用戶陷入了被“透明”的尷尬境地，事實證明，遭殃的不僅僅是蘋果和他的手機用戶，這一次輪到了百度！

據科技網站PCWorld報道，由百度開發的一款SDK(軟件開發工具包)包含有一項特性，能使黑客以后門方式訪問用戶設備。數以千計的Android應用利用了百度的這款SDK。

安全廠商趨勢(Trend Micro)研究人員周日發表博文稱，這款SDK名為Moplus，盡管它不向公眾開放，但被整合在逾1.4萬款應用中，其中約4000款是由百度開發的。趨勢估計，受影響應用的用戶總數超過1億。

趨勢的分析報告稱，Moplus SDK會在安裝有受影響應用的設備上開啟一個HTTP服務器，它不使用任何認證技術，接受來自互聯網上任意設備的請求。

更糟糕的是，通過向這一隱藏的HTTP服務器發送請求，黑客可以執行在SDK中實現的預先定義的命令。這些命令可以用來提取位置數據和搜索關鍵字等敏感信息，以及增加新聯系人、上傳文件、打電話、顯示虛假信息、安裝應用。

在越獄的設備上，這款SDK允許靜默安裝應用，這意味著用戶不會收到提示信息。事實上，趨勢研究人員已經發現一款利用該漏洞安裝用戶不需要應用的蠕蟲病毒——ANDROIDOS_WORMHOLE.HRXA。

趨勢研究人員認為，在許多方面，Moplus缺陷比今年早些時候在Android Stagefright庫中發現的一處缺陷更糟糕，因為后者至少要求黑客向用戶發送惡意彩信，或誘惑用戶打開惡意鏈接。

研究人員稱，為了利用該Moplus缺陷，黑客只需掃描整個移動網絡，發現打開特定Moplus HTTP服務器端口的IP地址。

趨勢已經向百度和谷歌通報了這一安全問題。

趨勢安全研究人員稱，百度已經發布了新版SDK，刪除了部分命令，但它仍然開啟HTTP服務器，部分功能仍然會被黑客濫用。

百度研究人員通過一封電子郵件稱，該公司已經修復了10月30日前報告的所有安全缺陷，這款SDK中不存在“后門”，在新版SDK中，不活躍代碼將被去除。

但是，問題在于使用這款SDK的第三方開發者更新他們應用的速度。趨勢列出的20款受影響最大的應用包括第三方開發的應用，部分還沒有從Google Play下架。