百度被曝強制接入SDK 或與“全家桶”事件有關

新浪科技訊 11月13日晚間消息，有開發者在知乎稱，11月4日至11月10日間，百度手機助手強制要求接入百度SDK，且接入該SDK就必須接入百度的廣告聯盟SDK。不過最新消息稱，百度手機助手已經與11月11日放棄了強制安裝SDK。

有相關爆料者稱，上周App發新版本，上傳到市場的時候唯有百度手機助手未能審核通過，並收到百度關於未能審核通過原因的郵件，內容為：

尊敬的開發者您好，歡迎聯繫百度客服中心！

由於目前存在較多惡意應用採取“版本升級”的方式，規避百度審查機制，推送惡意行為，嚴重損害用戶利益，而現有技術暫時無法準確判斷應用是否有自己升級的能力，故上線App需要接入自動更新SDK，以制止目前存在的惡意情況。

當前提交的版本我們將先予通過，您需要在當前版本通過的三天內完成對自動更新SDK的添加並提交審核，此期限后SDK還未更新我們將下線該版本。

可以接受的話，請您提供包名、用戶ID進行審核。

再次感謝您的支持與理解。如果您還有任何疑問，請直接回復此郵件，我們會積極解答直至您滿意。

百度方面稱，此舉與之前百度安卓開發工具漏洞有關，后來已經發聲明並已修復，現在已能正常使用。

據悉，百度方面所稱的開發者工具漏洞指的是上周被曝的“后門”門，即百度提供的一個軟件開發包(SDK)被曝光存在后門，而黑客可以利用這一后門入侵用戶的設備。這一SDK被用在了數千款Android應用中。趨勢科技的信息安全研究人員上周二表示，這一SDK名為Moplus。盡管沒有公開發布，但這一SDK被整合至超過1.4萬個應用，其中只有約4000個應用為百度開發。

直白來，這一SDK的嚴重威脅在於：在被root的Android設備上，這一SDK允許應用的靜默安裝。這意味，用戶在沒有看到任何確認消息的情況下，應用就可能被安裝至設備。實際上，趨勢科技的研究人員已經發現了一種蠕蟲病毒，利用這一后門安裝用戶不需要的應用。這一惡意軟件名為ANDROIDOS_WORMHOLE.HRXA。

在此事件爆發后，也有網友將此稱為“百度全家桶”事件。

不過，百度一名發言人表示，百度已修復了10月30日報告給該公司的所有信息安全漏洞。此外，這名發言人還表示，百度沒有提供“后門”。而在該公司的下一版應用中，這些未激活代碼將會被刪除。(李根)