以技术能力标榜自己的百度近来频频被打脸。

　　美国科技媒体PCWorld消息，日前，美国安全公司Trend Micro称，百度开发的一个SDK（开发包工具）存有安全漏洞，给黑客留下了后门，黑客可以访问普通用户的设备，在安卓手机上上传恶意程序，并且执行程序。

　　据Trend Micro的研发人员表示，目前市场上有超过1.4万款应用整合了这个名为“Moplus”的开发工具包，在这些应用中，只有大约4000款应用由百度自行开发。Trend Micro估计，有超过1亿用户在使用这些受影响的应用。

　　根据Trend Micro的分析，若安装了受影响的应用，Moplus工具包便会在设备上架设一HTTP服务器；该服务器没有任何认证措施，而且可以接受来自互联网的任意请求。

　　更糟的是，通过向这一隐藏的HTTP服务器发送请求，攻击者可以执行那些部署在这一SDK中的预定义指令。这些指令可被用来提取诸如地理位置、查询请求等敏感信息，还可以添加新联系人、上传文件、拨打电话、显示伪造短信并安装应用。

　　在已经“root”的设备上，该SDK还允许应用静默安装。这意味着设备在安装应用时无需经过用户确认。Trend Micro的研究人员已经发现了一款利用该后门肆意安装应用的蠕虫。这一恶意软件被确定为ANDROIDOS_WORMHOLE.HRXA。

　　Trend Micro的研究人员认为，从很多方面看，Moplus开发套件上存在的安全问题，其严重程度要远超今年早些时候在安卓“Stagefright”库中发现的漏洞。理由是攻击者在利用后者的漏洞时，至少要先向用户手机发送恶意彩信，或哄骗他们打开恶意网站链接。

　　而利用Moplus漏洞，攻击者只需扫描手机网络上那些开启了Moplus HTTP服务器端口的IP地址。

　　Trend Micro也表示，已经向百度和谷歌(微博)两家公司通知了这一漏洞的存在。

　　Trend Micro的研究人员称，虽然百度在新版SDK中删除了一些指令，但HTTP服务器仍然开放，而且一些功能仍有可能被滥用。

　　百度代表在邮件中表示：“截至10月30日，百度已修复了所有报告给公司的安全问题。Trend Micro最新文章中所称有问题的剩余代码，实际上是修复后的废弃代码，不会有任何影响。”

　　该代表称不存在任何“后门”。此人还补充称，上述废弃代码会在下一次更新中删除，“以示澄清”。

　　而就在前几天：

　　乌云平台发布报告称，已经有白帽子发现了多款Android应用存在WormHole漏洞，黑客可以利用这个漏洞攻击任何存在漏洞的联网手机，执行恶意代码就可以直接操控你手中的手机。据不完全统计，目前网络上的信息都指向了百度的多款应用中招了。这些应用包括：百度地图、百度浏览器、百度贴吧、百度翻译、百度视频、百度手机助手、百度云、百度音乐、百度新闻、百度图片、百度输入法等。

　　相关的安全专家表示，“WormHole漏洞”其实是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广app的用途。