พบ Backdoor บน SDK ของ Baidu ส่งผลกระทบกับอุปกรณ์ Android กว่า 100 ล้านเครื่องทั่วโลก

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาประกาศค้นพบช่องโหว่บน SDK ของ Baidu ที่ชื่อว่า Moplus ซึ่งช่องโหว่นี้ทำหน้าที่คล้าย Backdoor ที่ช่วยให้แฮ็คเกอร์เข้ามาควบคุมอุปกรณ์ Android ได้ โดยเรียกช่องโหว่นี้ว่า Wormhole โดยคาดว่าส่งผลกระทบกับแอพพลิเคชันมากกว่า 14,000 แอพ และผู้ใช้งานกว่า 100 ล้านคนทั่วโลก

แอบสร้าง HTTP Server ลับหลังผู้ใช้ เพื่อส่งคำสั่งเข้ามาควบคุมเครื่อง

ช่องโหว่ Wormhole ช่วยให้แฮ็คเกอร์สามารถเปิดการใช้งาน HTTP Server ที่ไม่ต้องพิสูจน์ตัวตนบนอุปกรณ์ของผู้ใช้ โดยรันเป็น Background ลับหลังเพื่อไม่ให้เจ้าของเครื่องรู้ตัว ซึ่ง HTTP Server นี้จะคอยรับคำสั่งจากแฮ็คเกอร์ผ่านอินเตอร์เน็ต หมายเลขพอร์ท 6529 และ 40310 โดยคำสั่งที่ส่งมาส่วนใหญ่ประกอบด้วย

• ส่ง SMS
• โทรศัพท์ไปหาผู้อื่น
• สร้าง Contact ใหม่
• แอบดูรายละเอียดของโทรศัพท์
• ดาวน์โหลดและอัพโหลดไฟล์จากอุปกรณ์
• แอบติดตั้งแอพพลิเคชัน (ในกรณีที่เป็น Root)
• ตรวจสอบตำแหน่งของอุปกรณ์ และอื่นๆ

แฝงตัวอยู่ใน 14,000+ แอพ กว่า 100 ล้านเครื่องทั่วโลก

ช่องโหว่ Wormhole คาดว่าแฝงตัวอยู่บนแอพพลิเคชันของ Android กว่า 14,000 แอพพลิเคชัน ซึ่งประมาณ 4,000 แอพพลิเคชันในนั้นเป็นแอพที่พัฒนาโดย Baidu โดยตรง และจากการตรวจสอบพบว่ามีผู้ใช้มากกว่า 100 ล้านคนที่ดาวน์โหลดแอพพลิเคชันเหล่านี้ไปใช้งานบนเครื่องของตน ซึ่งอาจตกเป็นเหยื่อของแฮ็คเกอร์ได้ทันที โดยที่แฮ็คเกอร์ไม่มีความจำเป็นต้องหลอกล่อหรือทำ Social Engineering แต่อย่างใด

ออกแพทช์อุดช่องโหว่พร้อมให้อัพเดท

Trend Micro ได้แจ้งช่องโหว่ Wormhole ไปยัง Baidu และ Google เป็นที่เรียบร้อยแล้ว และทาง Baidu ก็ได้ดำเนินการแก้ไขปัญหาไปส่วนหนึ่ง นั่นคือได้มีการออก Moplus SDK เวอร์ชันใหม่ที่ปิดช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ใช้งานรีบอัพเดทแอพพลิเคชันบนเครื่องโดยเร็วเพื่อป้องกันการโจมตีจากแฮ็คเกอร์ อย่างไรก็ตาม ยังพบว่ามี HTTP Server ที่ยังออนไลน์และถูกใช้งานอยู่

ที่มา: http://thehackernews.com/2015/11/android-malware-backdoor.html