百度Moplus漏洞已修复,手机安全知识亟待普及

百度百家  •  扫码分享

近日,在手机安全领域,百度因为Moplus漏洞问题再次成为行业焦点。虽然百度方面已经第一时间确认并已修复mo + sdk漏洞,但是,由于事件后各“专业人士”处于竞争性立场的纷纷不同程度解读,导致在普通手机用户在百度阴谋论的论调再起。此次百度Moplus漏洞事件不仅折射出普通用户对于手机安全的持续关注和警戒提升,同时显示出手机安全知识普及不充分,极易造成杞人忧天式的恐慌。

其实,百度Moplus是一个由百度提供的安卓软件开发包(SDK),旨在使得移动应用增加交互性,提升客户体验,如所在位置的精准定位、提供搜索历史以及获取联系人信息等。因为此SDK是不向公众开放,因此被很多用户臆想性的解读为内涵后门,并利用这一后门侵入用户的Android移动设备。

虽然由于智能手机的发展,人们银行、隐私等信息都会更多的呈现在智能手机中,一旦发生大规模恶性手机后门事件,将会严重损害用户的个人利益。但是,像百度这种行业内具有良好声誉和形象的巨头企业,其面对漏洞和补救的态度及速度都是令人满意,我们不能简单的讲一个SDK想象为阴谋侵入用户手机的后门。如果单纯考虑这种不面向公众的SDK其产生的未可知的影响,就犹如想象银行会失窃,那就有些杞人忧天的倾向了。如果这样,大部分的手机软件就基本可以告别了。

但是,如果以技术手段为依托,逐条分析所谓“后门”带来的危险性,其实从本质到形式来说,用户都大可不必惊慌失措。如果手机用户或者网络服务可以抽出一定时间进行安全知识普及,就会了解到目前的手机APP的开发构架和基本模式,对于安装此类文件时就会有新的内心评判,不会有担忧或者阴谋的情绪。

下面,笔者就结合百度MOplus漏洞所牵涉的各个关键问题,做一简要分析和梳理,既是一颗定心丸,也是为了基本安全知识的普及。

SD(Software Development Kit)是指一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。因此,就本质而言,他只是一个中立词汇,一个为了工程师更好的完成软件开发所产生的集合,与“后门”没有必然和特定的联系。而被专业人士所广泛传播的内置HTTP服务器的行为,其实可能很多的用户并不清楚,在安卓软件开发中这种行为是极为常见的,类似APP或者第三方插件有很多。之所以能够正常发展存在至此,一方面是因为没有违反任何相关条例,不存在违规的情况;另一方面是因为乌云等网站公开过的此类漏洞并未产生太大危害,所产生的影响不大。

除了内置HTTP服务器外,百度Molius接口功能异常强大,被解读为一旦出现安全问题将会为恶意利用这带来巨大的空间。很多不明安全知识的用户,一旦看到手机重要信息存在被利用的可能性,就会必然产生惊恐情绪。

这也由于目前的新闻报道中,安全事件报道居多,但是真正的安全知识解读却较少,导致用户并不能从根本层面安全问题产生的本源。

百度Moplus的强大接口功能,主要出现在添加通讯录功能(addcontactinfo)、 获取用户安装列表(getapplist)、获取用户的地理位置信息(geolocation)、下载文件到指定目录(downloadfile)等。

添加通讯录功能, 是指的利用Moplus用户可以根据搜索出的商户信息,在已搜索的页面结果中快速添加商家电话号码到通讯录,及时有效的记忆商家信息。这其实对于大多数手机APP使用者而言是一个极为方便的小功能,免去自己手动添加的麻烦,如果被利用尚未到达有所损害的境地。

获取用户安装列表,是指的在搜索结果中可以获得用户安装的软件信息,对于像恶意方向解读而言或许牵涉隐私数据。但是,我想对于大多数用户而言并没有太大影响,反而是一个不错的小功能,带来较大的便捷操作。

获取用户的地理位置信息,这个对于普通用户来说最好理解,即是我们在搜索相关美食、电影等项目是会自动定位所在区域,推荐附近的优质商家。相信这对于很多的用户来说已经成为极为以来的一种功能,目前大众点评滴滴等软件已经是提高客户体验和便捷新的必备功能,如果这也被定义为侵犯隐私,那么笔者认为在当前的互联网发展形势下,已经没有使用智能手机的必要,因为APP进行位置信息获取已经成为一种基本功能。

下载文件到指定目录,这个是指的在下载应用后,如果用户的手机存在root权限,会自动静默安装,如果不存在root权限,会弹出系统安装界面安装。其实,就笔者而言这是一项符合用户心理的功能需求,一旦ROOT就意味着对于功能性有着更高的要求,而且目前来看也尚未发现因为这项静默安装漏洞出现相关恶意操作的情况。

通过上述从SDK到MOplus各项功能的解读,或许用户对于此项漏洞所衍生出的所谓“后门”之类情况已经有了大概的认知。他充其量只是一种当下APP开发中常用的技术手段罢了,更多的还是为了能够提高用户的交互性和体验性,为了为用户带来更为舒适便捷的操作体验,根本不存在为了侵入用户手机手机信息的情况。

尽管如此,作为一家负责人的上市企业,百度作为行业的标杆和龙头企业,再确认并修复MOplus漏洞后,还是将其下线。其所秉承的安全第一、用户至上的理念令人感到放心,这种对于潜在风险零容忍的态度和行事速度也令人较为认可。笔者认为,安全无小事,但是我们的互联网企业和用户更应该增强对于安全知识的普及,只有真正认识和了解了互联网安全,互联网才能真正实现安全。

【每篇覆盖100万人的科技评论,微博@互联网分析师于斌,微信个人号117821818,订阅号『互联网分析师于斌 ityubin』】

随意打赏

提交建议
微信扫一扫,分享给好友吧。
关闭