Update: Em nota, a Assessoria de Imprensa do Baidu informou que as vulnerabilidades apontadas em um SDK do Baidu para dispositivos Android  foram corrigidas logo que a empresa foi informada de sua existência. Uma versão atualizada do SDK já foi distribuída a todos os desenvolvedores que utilizavam a versão que revelou ter falhas.  A nota ainda esclarecia que o episódio se refere exclusivamente a aplicações desenvolvidas no mercado asiático, em idioma chinês, e não têm qualquer efeito sobre produtos e serviços oferecidos pelo Baidu no Brasil.

Não é só nos computadores que a Baidu vem tirando o sono de muita gente. A empresa chinesa também vem causando problemas nos smartphones após a descoberta de uma brecha de segurança em um kit de desenvolvimento de apps para Android da companhia que permite que hackers ataquem os dispositivos com bastante facilidade.

O mais preocupante disso é que nem se trata de algo que o usuário tem muito controle, já que ele não precisa ter baixado nada da Baidu para entrar no grupo de risco. Isso porque o Moplus, como é chamado o SDK, é usado em outros apps disponíveis na Google Play. Segundo os especialistas em segurança da Trend Micro que descobriram a falha, cerca de 14 mil aplicativos utilizam o kit, sendo apenas 4 mil feitos pela companhia chinesa. A estimativa é que mais de 100 milhões de usuários tenham sido afetados.

A Trend Micro explica um pouco do funcionamento desse recurso presente no SDK. Segundo a empresa, a Baidu praticamente deixou a porta aberta para que qualquer um pudesse entrar. Parece exagero, mas é isso mesmo. O Moplus abre um servidor HTTP nos aparelhos que possuem algum aplicativo afetado e, a partir disso, entra quem quer. Esse servidor não exige qualquer tipo de autenticação e aceita qualquer tipo de requisição — o que é um prato cheio para qualquer hacker.

Só que a dor de cabeça não para por aí. Como o site PC World destaca, as requisições feitas a esse servidor oculto ainda permitem que os invasores executem comandos que foram previamente definidos no kit de desenvolvimento. Em outras palavras, isso significa que o invasor pode ter acesso a uma série de informações pessoais do usuário, como dados de localização, buscas, contatos, chamadas, apps instalados e até o que foi exibido em sua tela. Se o seu Android foi rooteado, o Moplus ainda permite que aplicativos sejam instalados sem que você perceba, incluindo alguns malwares.

De acordo com o Tend Micro, a Baidu já foi notificada da falha e a empresa chinesa confirmou o lançamento de um novo SDK. No entanto, até mesmo essa versão mais recente conta com o tal servidor, ainda que sem alguns dos comandos identificados anteriormente — o que, na prática, não muda muita coisa em termos de segurança. No entanto, em um comunicado, a empresa afirmou já ter resolvido todos esses problemas e que o restante do código inativo vai ser removido na próxima versão do Moplus. A dúvida é quando isso vai acontecer.

***

Com informações de Canal Tech