Aplicativos da Baidu colocam em risco mais de 100 milhões de Androids

Por Redação | 03 de Novembro de 2015 às 10h16
photo_camera Divulgação

Não é só nos computadores que a Baidu vem tirando o sono de muita gente. A empresa chinesa também vem causando problemas nos smartphones após a descoberta de uma brecha de segurança em um kit de desenvolvimento de apps para Android da companhia que permite que hackers ataquem os dispositivos com bastante facilidade.

O mais preocupante disso é que nem se trata de algo que o usuário tem muito controle, já que ele não precisa ter baixado nada da Baidu para entrar no grupo de risco. Isso porque o Moplus, como é chamado o SDK, é usado em outros apps disponíveis na Google Play. Segundo os especialistas em segurança da Trend Micro que descobriram a falha, cerca de 14 mil aplicativos utilizam o kit, sendo apenas 4 mil feitos pela companhia chinesa. A estimativa é que mais de 100 milhões de usuários tenham sido afetados.

A Trend Micro explica um pouco do funcionamento desse recurso presente no SDK. Segundo a empresa, a Baidu praticamente deixou a porta aberta para que qualquer um pudesse entrar. Parece exagero, mas é isso mesmo. O Moplus abre um servidor HTTP nos aparelhos que possuem algum aplicativo afetado e, a partir disso, entra quem quer. Esse servidor não exige qualquer tipo de autenticação e aceita qualquer tipo de requisição — o que é um prato cheio para qualquer hacker.

Só que a dor de cabeça não para por aí. Como o site PC World destaca, as requisições feitas a esse servidor oculto ainda permitem que os invasores executem comandos que foram previamente definidos no kit de desenvolvimento. Em outras palavras, isso significa que o invasor pode ter acesso a uma série de informações pessoais do usuário, como dados de localização, buscas, contatos, chamadas, apps instalados e até o que foi exibido em sua tela. Se o seu Android foi rooteado, o Moplus ainda permite que aplicativos sejam instalados sem que você perceba, incluindo alguns malwares.

De acordo com o Tend Micro, a Baidu já foi notificada da falha e a empresa chinesa confirmou o lançamento de um novo SDK. No entanto, até mesmo essa versão mais recente conta com o tal servidor, ainda que sem alguns dos comandos identificados anteriormente — o que, na prática, não muda muita coisa em termos de segurança. No entanto, em um comunicado, a empresa afirmou já ter resolvido todos esses problemas e que o restante do código inativo vai ser removido na próxima versão do Moplus. A dúvida é quando isso vai acontecer.

Atualização

Em contato com nossa equipe, a Baidu informou que os problemas no SDK foram corrigidos tão logo foram reportados. Além disso, a companhia enfatizou o fato de uma versão atualizada do SDK já ter sido liberada a todos os desenvolvedores que utilizavam a ferramenta. O pronunciamento na íntegra pode ser conferido abaixo:

As vulnerabilidades apontadas em um kit de desenvolvimento de apps (SDK) do Baidu para dispositivos Android foram corrigidas logo que a empresa foi informada de sua existência. Uma versão atualizada do SDK já foi distribuída a todos os desenvolvedores que utilizavam a versão do SDK que revelou ter falhas. É importante esclarecer que o episódio se refere exclusivamente a aplicações desenvolvidas no mercado asiático, em idioma chinês, e não têm qualquer efeito sobre produtos e serviços oferecidos pelo Baidu no Brasil.

Via: PC World, Trend Micro

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.