新浪科技讯 11月13日晚间消息,有开发者在知乎称,11月4日至11月10日间,百度手机助手强制要求接入百度SDK,且接入该SDK就必须接入百度的广告联盟SDK。不过最新消息称,百度手机助手已经与11月11日放弃了强制安装SDK。
有相关爆料者称,上周App发新版本,上传到市场的时候唯有百度手机助手未能审核通过,并收到百度关于未能审核通过原因的邮件,内容为:
尊敬的开发者您好,欢迎联系百度客服中心!
由于目前存在较多恶意应用采取“版本升级”的方式,规避百度审查机制,推送恶意行为,严重损害用户利益,而现有技术暂时无法准确判断应用是否有自己升级的能力,故上线App需要接入自动更新SDK,以制止目前存在的恶意情况。
当前提交的版本我们将先予通过,您需要在当前版本通过的三天内完成对自动更新SDK的添加并提交审核,此期限后SDK还未更新我们将下线该版本。
可以接受的话,请您提供包名、用户ID进行审核。
再次感谢您的支持与理解。如果您还有任何疑问,请直接回复此邮件,我们会积极解答直至您满意。
据悉,百度此举或与上周被曝的开发者工具漏洞有关,即百度提供的一个软件开发包(SDK)被曝光存在后门,而黑客可以利用这一后门入侵用户的设备。这一SDK被用在了数千款Android应用中。趋势科技的信息安全研究人员上周二表示,这一SDK名为Moplus。尽管没有公开发布,但这一SDK被集成至超过1.4万个应用,其中只有约4000个应用为百度开发。
直白来说,这一SDK的严重威胁在于:在被root的Android设备上,这一SDK允许应用的静默安装。这意味着,用户在没有看到任何确认消息的情况下,应用就可能被安装至设备。实际上,趋势科技的研究人员已经发现了一种蠕虫病毒,利用这一后门安装用户不需要的应用。这一恶意软件名为ANDROIDOS_WORMHOLE.HRXA。
在此事件爆发后,也有网友将此称为“百度全家桶”事件。(李根)
最新进展方面,百度官方对此次接入SDK进行了说明,声明全文如下:
关于百度开发者平台接入SDK公测的说明
各位开发者和媒体朋友,关于近期百度开发者平台邀请开发者进行自更新SDK公测的情况,做以下说明:
一、接入百度开发者平台自更新SDK,旨在规避部分问题APP通过自身升级而逃避应用商店监管,同时也是响应相关部门对所有应用商店加强APP监管的指示。
二、此前出现的安卓系统漏洞,百度已于第一时间完成修复,此次提供的自更新SDK不存在任何漏洞。
三、开发者凭自愿选择是否接入SDK,享受提升应用升级服务稳定性、节省带宽成本等服务。我们将持续为接入SDK的开发者提供奖励。
如有公司或个人希望通过媒体恶意炒作、造谣,及任何意图损害百度手机助手品牌形象的行为,我们在此郑重声明,将保留通过法律手段追究其刑事责任的权利。
百度手机助手
2015年11月14日
