El componente de la aplicación Baidu pone en riesgo 100 millones de dispositivos Android

Un kit de desarrollo de software creado por la compañía china de servicios de Internet Baidu y utilizado por miles de aplicaciones de Android contiene una característica que da a los atacantes acceso dispositivos.

El SDK se llama Moplus y aunque no está abierto al público, se integró en más de 14,000 aplicaciones, de las cuales Baidu creó solo alrededor de 4,000, dijeron investigadores de seguridad de Trend Micro en una publicación de blog el domingo.

La compañía estima que las aplicaciones afectadas son utilizadas por más de 100 millones de usuarios.

[Más información: cómo eliminar el malware de su PC con Windows]

Según el análisis de Trend Micro, el SDK de Moplus ope ns un servidor HTTP en dispositivos donde están instaladas las aplicaciones afectadas; el servidor no usa autenticación y acepta solicitudes de cualquier persona en Internet.

Aún peor, al enviar solicitudes a este servidor HTTP oculto, los atacantes pueden ejecutar comandos predefinidos que se implementaron en el SDK. Se pueden usar para extraer información confidencial, como datos de ubicación y consultas de búsqueda, así como para agregar nuevos contactos, cargar archivos, hacer llamadas telefónicas, mostrar mensajes falsos e instalar aplicaciones.

En dispositivos que se han rooteado, el SDK permite la instalación silenciosa de aplicaciones, lo que significa que los usuarios no recibirán confirmación. De hecho, los investigadores de Trend Micro ya han encontrado un gusano en la naturaleza que explota esta puerta trasera para instalar aplicaciones no deseadas. El malware se detecta como ANDROIDOS_WORMHOLE.HRXA.

Los investigadores de Trend Micro creen que, en muchos aspectos, la falla de Moplus es peor que la descubierta anteriormente este año en la biblioteca Android Stagefright porque al menos eso requería que los atacantes enviaran mensajes multimedia maliciosos a números de teléfono de los usuarios o para engañarlos para que abran URL maliciosas.

Para explotar el problema de Moplus, los atacantes pueden escanear redes móviles completas para las direcciones de Protocolo de Internet que tienen los puertos de servidor Moplus HTTP abiertos, dijeron los investigadores.

Trend Micro notificó a Baidu y Google sobre el problema de seguridad.

Baidu lanzó una nueva versión del SDK en la que eliminó algunos comandos, pero el servidor HTTP todavía se está abriendo y aún se puede abusar de algunas funciones, el Trend Micro Los investigadores dijeron que

Baidu solucionó todos los problemas de seguridad que se informaron a la compañía antes del 30 de octubre, dijo un representante de Baidu por correo electrónico. "El código restante que se identificó en la última publicación de [Trend Micro] como potencialmente problemático después de nuestra corrección es en realidad un código muerto, sin ningún efecto en absoluto."

No hay "puertas traseras", dijo el representante, y agregó que el el código inactivo se eliminará en la próxima versión de las aplicaciones de la compañía por "claridad".

Sin embargo, la pregunta sigue siendo qué tan rápido todos los desarrolladores de terceros que usaron este SDK actualizarán sus aplicaciones con la última versión. La lista de Trend Micro de las 20 aplicaciones más afectadas incluye aplicaciones de desarrolladores distintos de Baidu y algunas de ellas aún se encuentran en Google Play.