Anonim
Baidu

Om du är en mobilapputvecklare som vill generera intäkter med några lätta att installera annonser är Google inte det enda alternativet. Den massiva kinesiska leverantören av webbtjänster Baidu erbjuder också en gratis mobilreklam-SDK för alla utvecklare att integrera i sin app med lite kodningskompetens som krävs. Enligt en rapport från antivirusföretaget Bitdefender kan dock hackare kapa Baidus tjänst för att göra mer än bara visa annonser. En nyligen upptäckt säkerhetsfel möjliggör för hackare att köra skadlig kod genom Baidus SDK.

Malware i mitten
"Bitdefender Research-teamet har funnit att Baidu Mobile Advertising SDK implementerar en uppdateringsmekanism som är sårbar för exekvering av kodkod via enkla man-in-the-middle-attacker, " säger teamet i ett uttalande. För att bevisa denna teori skapade Bitdefenders forskare en Proof of Concept-attack som framgångsrikt och tyvärr avlyssnade data från en enhet som kör SDK på en osäker kommunikationskanal.

Vi har sett attacker från mitten av mitten tidigare. Med hjälp av denna metod sätter hackare hemligt in sig i privata konversationer mellan offer och en känslig källa. Säg att du använder en bankapp. Angriparen i mitten kommer att kopiera din information, men också skicka dina data till den riktiga banken så att det ser ut som allt är normalt. När det gäller denna Baidu-exploatering måste hackaren vara i samma nätverk som målet, men en man-i-mitt-attack kan fortfarande stjäla en skattkammare med privat data vid en stor samling som en affärshändelse.

Bilden nedan visar en sårbar app, Next Escape Winter Villa, med ett meddelande som visar en del av informationen Bitdefender kunde ta från enheten.

Sårbar Baidu-app

För stor för att misslyckas
Säkerhetshot är alltid oroande, men de är desto mer nedslående när de är felet för företag som är så stora som Baidu. Det är inte någon liten, skuggig operation som Applovin eller Widdit, annonstjänster som kan utnyttjas på liknande sätt. Om du inte bor i Kina är det lätt att glömma hur enorm Baidu egentligen är. Det är den mest populära webbplatsen i det mest befolkade landet. Enligt Alexa ser bara Google, Facebook och YouTube mer global trafik än Baidu.

Faktum är att Google förmodligen är den mest lämpliga jämförelsen eftersom båda företagen började skapa sökmotorer i mitten av 1990-talet innan de satte syn på hela Internet. Men även om Android inte alltid är den säkraste plattformen verkar Google åtminstone bry sig om säkerhet. Denna Baidu-sårbarhet skickar det olyckliga meddelandet att företaget är farligt apatiska mot mobilsäkerhet. Många Android-appar populära i Kina och utomlands har Baidu Mobile Advertising SDK, och nu är alla dessa användare i riskzonen. Det är redan tillräckligt svårt att upptäcka skadlig programvara som legitima appar. Hur ska användare veta när faktiska legitima appar har annonskomponenter med skadlig programvara?

För att skydda dig själv rekommenderar Bitdefender att du använder en mobil säkerhetslösning och vi håller med. Dessa produkter kan övervaka hur appar använder dina uppgifter och se till att de inte rycks av fel personer. Bitdefender erbjuder en prisbelönad Android-säkerhetsprodukt för Editors 'Choice, liksom Avast. Det är inte kul att fångas i mitten, särskilt när din integritet är på väg.