Et programvareutviklingssett laget av kinesisk Internett-tjenesteselskap Baidu og brukt av tusenvis av Android-applikasjoner, inneholder en funksjon som gir angripere bakdørlignende tilgang til brukerne ' enheter.

Selskapet anslår at de berørte appene brukes av over 100 millioner brukere.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I følge Trend Micros analyse er Moplus SDK ope ns en HTTP-server på enheter der berørte apper er installert; serveren bruker ikke autentisering og aksepterer forespørsler fra noen på Internett.

Enda verre, ved å sende forespørsler til denne skjulte HTTP-serveren, kan angriperne utføre forhåndsdefinerte kommandoer som ble implementert i SDK. Disse kan brukes til å trekke ut sensitiv informasjon som posisjonsdata og søk, samt legge til nye kontakter, laste opp filer, ringe, vise falske meldinger og installere apper.

På enheter som har blitt rotfestet, tillater SDK den stille installasjonen av applikasjoner, noe som betyr at brukerne ikke blir bedt om bekreftelse. Faktisk har Trend Micro forskerne allerede funnet en orm ute i naturen som utnytter denne bakdøren for å installere uønskede applikasjoner. Skadelig programvare oppdages som ANDROIDOS_WORMHOLE.HRXA.

Trend Micro-forskerne mener at Moplus-feilen på mange måter er verre enn en som ble oppdaget tidligere i år i Android Stagefright-biblioteket fordi minst den ene krevde at angriperne skulle sende skadelige multimediemeldinger til brukerne telefonnumre eller å lure dem til å åpne ondsinnede nettadresser.

For å utnytte Moplus-problemet kan angriperne enkelt skanne hele mobilnettverk for Internet Protocol-adresser som har de spesifikke Moplus HTTP-serverportene åpnet, sa forskerne.

Trend Micro har varslet Baidu og Google om sikkerhetsproblemet.

Baidu lanserte en ny versjon av SDK-en der den fjernet noen kommandoer, men HTTP-serveren er fortsatt åpnet og noen funksjoner kan fortsatt misbrukt, Trend Micro Forskere sa.

Baidu løste alle sikkerhetsproblemene som ble rapportert til selskapet innen 30. oktober, sa en Baidu-representant via e-post. "Den gjenstående koden som ble identifisert i det siste [Trend Micro] -posten som potensielt problematisk etter vår løsning, er faktisk død kode, uten noen effekt."

Det er ingen "bakdører", sa representanten, og la til at Inaktiv kode vil bli fjernet i den neste versjonen av selskapets apps for "klarhetens skyld". Men spørsmålet er fortsatt hvor raskt alle tredjepartsutviklere som brukte dette SDK, vil oppdatere sine apper med den nyeste versjonen. Trend Micros liste over de 20 mest berørte applikasjonene inkluderer programmer av andre utviklere enn Baidu, og noen av dem er fortsatt i Google Play.