Video: The Ultimate Protection for All Your Devices - McAfee Mobile Security (Oktober 2024)
Hvis du er en mobilapputvikler som ønsker å generere inntekter med noen enkle å installere annonser, er Google ikke det eneste alternativet. Den enorme kinesiske leverandøren av webtjenester Baidu tilbyr også en gratis mobilannonsering SDK for enhver utvikler å integrere seg i appen deres med lite koding ferdigheter som kreves. Imidlertid, ifølge en rapport fra antivirusfirmaet Bitdefender, kunne hackere kapre Baidus tjeneste for å gjøre mer enn bare å vise annonser. En nylig oppdaget sikkerhetsfeil gjør det mulig for hackere å utføre ondsinnet kode gjennom Baidus SDK.
Malware i midten
"Bitdefender Research-teamet har funnet ut at Baidu Mobile Advertising SDK implementerer en oppdateringsmekanisme som er sårbar for ekstern kjøring av kode via enkle mann-i-midten-angrep, " sa teamet i en uttalelse. For å bevise denne teorien opprettet Bitdefenders forskere et Proof of Concept-angrep som vellykket, og dessverre, avlyttet data fra en enhet som kjører SDK på en usikker kommunikasjonskanal.
Vi har sett mann-i-midten-angrep før. Ved å bruke denne metoden setter hackere seg hemmelig inn i private samtaler mellom ofre og en sensitiv kilde. Si at du bruker en bank-app. Angriperen i midten vil kopiere informasjonen din, men også overføre dataene dine til den virkelige banken slik at det ser ut som om alt er normalt. Når det gjelder denne Baidu-utnyttelsen, må hackeren være på samme nettverk som målet, men et midt-mellom-angrep kan fremdeles stjele en skattekiste med private data på en stor samling som et forretningsarrangement.
Bildet nedenfor viser en sårbar app, Next Escape Winter Villa, med en melding som viser noe av informasjonen Bitdefender kunne ta fra enheten.
For stor til å feile
Sikkerhetstrusler er alltid urovekkende, men de er desto mer skuffende når de skylder selskaper like store som Baidu. Det er ikke noen små, skyggefulle operasjoner som Applovin eller Widdit, annonsetjenester som kan utnyttes på lignende måte. Hvis du ikke bor i Kina er det lett å glemme hvor enorm Baidu egentlig er. Det er det mest populære nettstedet i det mest befolkede landet. I følge Alexa er det bare Google, Facebook og YouTube som ser mer global trafikk enn Baidu.
Faktisk er Google sannsynligvis den mest effektive sammenligningen siden begge selskaper begynte å lage søkemotorer på midten av 1990-tallet før de siktet sine mål på hele Internett. Men selv om Android ikke alltid er den sikreste plattformen, ser Google i det minste ut til å bry seg om sikkerhet. Denne sårbarheten i Baidu sender den uheldige meldingen om at selskapet er farlig apatisk overfor mobilsikkerhet. Mange Android-apper populære i Kina og i utlandet har Baidu Mobile Advertising SDK, og nå er alle disse brukerne i faresonen. Det er allerede vanskelig nok til å oppdage skadelig programvare som legitime apper. Hvordan skal brukere vite når faktiske legitime apper har annonser som sprer skadelig programvare?
For å beskytte deg selv, anbefaler Bitdefender å bruke en mobil sikkerhetsløsning, og vi er enige. Disse produktene kan overvåke hvordan apper bruker dataene dine og sørge for at de ikke blir snappet av gale mennesker. Bitdefender tilbyr et prisvinnende Android-sikkerhetsprodukt for Editors 'Choice, og Avast gjør det også. Det er ikke moro å bli fanget i midten, spesielt når personvernet ditt er på linjen.
