中国 Baidu、同社提供の Android アプリ開発キット (SDK) の「Moplus」へバックドア機能実装、重大な脆弱性が発覚

Filed in Topic - トピック 9 comments

Baidu Android Moplus SDK backdoor

中国最大の検索エンジンサービスを提供する「Baidu (百度)」、同社提供の Android アプリ開発キット (SDK) の「Moplus」に脆弱性(セキュリティ上の欠陥)が判明。バックドア機能を備えた重大な脆弱性としています。(一部訂正)

中国の脆弱性報告プラットフォーム「WooYun.og」にて報告され、セキュリティー会社トレンドマイクロなどにより警告されたもので。Baidu 提供の Android ソフトウェア開発キット (SDK = Software Develoment Kit) に含まれる「Moplus」に重大な脆弱性(セキュリティ上の欠陥)が発覚。

「Moplus」には「Wormhole」と呼ばれる脆弱性が確認されているとしていましたが実際には「Moplus」自体にバックドアとよばれる機能が搭載されているとしています。バックドアを利用することで、フィッシングサイトへの誘導、任意の連絡先追加、偽の SMS (ショートメッセージ)送信、リモートサーバーへのローカルファイルアップロード、アプリを端末にインストールすることが可能。

バックドア機能を実行するのに必要な環境条件はインターネットに接続しているということだけで、非常に危険としています。また、「Moplus」を利用したアプリは非常に多く、現時点で約1億人の Android ユーザーに影響を受けるとしています。

トレンドマイクロではこのセキュリティ問題について既にグーグル及び Baidu に報告済み。Baidu からの回答によれば、Baidu は、2015年10月30日からこの脆弱性について対処しているとのこと、また、更新したアプリをすでに Google Play に提出しており、保留中であるものを除いていくつかはすでに承認を得ている、とのことです。

尚、トレンドマイクロのモバイル端末向け総合セキュリティ製品「Trend Micro Mobile Security」は、不正な SDK 「ANDROIDOS_WORMHOLE.HRXA」が端末にインストールされる前に検出し、ユーザを守ります。アプリウィルススキャナ機能によって、インストールされているアプリをスキャンし、不正なアプリを削除できます。

■ 記事の訂正
当初掲載していた情報に誤りがあったため、内容を訂正いたしました。主な訂正は、「Wormhole」にバックドアの脆弱性が含まれるのではなく、「Moplus」自体にバックドア機能が備わっているという点です。意図的にバックドアが仕込まれたものとして非常に悪質としています。誤りがあり申し訳ありません。

ソフトウェア開発キット「Moplus」バックドア機能の実装判明 – トレンドマイクロセキュリティブログ
http://blog.trendmicro.co.jp/archives/12540




Posted by GPad   @   2015年11月9日 月曜日 9 comments
Tags :

9 Comments

Comments
11月 9, 2015
10:40
#1 匿名 :

中国アプリは基本的に全部ヤバイと思った方がいい。それにBaiduは前科があるので、今回も明らかに故意的にバックドアを仕掛けたとみていいのでは?

そして、Moplusの使った中華アプリの数はパナイ。中国で作られるアプリで相当利用されてます。国内から中国へ外注したものも含む・・・・。

11月 9, 2015
12:25
#2 anonymous :

このBaiduと仲が良いのがSONYなんですよね。
以前話題になったMy Xperiaの件もありますし、歴代Xperiaには中国語キーボードがプリインストールされています。
元SONY社長がBaiduの社外取締役に納まっているのも有名な話です。

11月 9, 2015
13:34
#3 Zony :

anonymousさん、ソニーが今そんなことになっていたとは・・・。((((;゚Д゚))))ガクガクブルブル

11月 9, 2015
13:35
#4 匿名 :

文字入力のsimejiはry

11月 9, 2015
13:54
#5 とくめい :

管理人氏の挙げたトレンドマイクロの記事も言及しているように、
今回の問題は偶然ではなく、意図的に開発された仕様の可能性が高いとのこと

「不具合」「バグ」どういうふうに呼び習わすかはバイドゥ側の自由だが
ユーザーとしては情報が少ない中で自衛していくしかないのが厳しいなあ

11月 9, 2015
13:55
#6 anonymous :

Zony様

今に始まった話ではないですよ。
Xperia自体、製造は中国企業(FOXCONN等)に丸投げです。

有名どころでは、日本で開発された日本語文字入力ソフトであるSimejiはBaiduに買収されユーザー情報を勝手にBaiduサーバーへ送っていたという問題もありましたし、有名なファイラーアプリであるESファイルエクスプローラーにもBaiduへ勝手に情報を送っているという噂もありました。

11月 9, 2015
13:56
#7 SEC :

正直この問題はAndroidアプリだけでは済まない。全然関係ないと思ってるiPhoneユーザーの方!Xcode Ghostで検索しましょう。Baiduだけではなく中国の開発ツール自体そのものが危ないのです!

11月 9, 2015
20:15
#8 匿名 :

内容が訂正されて更にヤバイ事ってことじゃないかw

11月 9, 2015
20:33
#9 匿名 :

知ってた

Leave a Comment

名前 (Name) が空欄だと「匿名」になり、コメント反映に時間がかかります。名前を入れると投稿後もコメントの編集や削除が可能です。Email は入力しても表示されません。コメントは1度の投稿で【300文字】までとなります。

Previous Post
«
Next Post
»