トレンドマイクロは、中国Baidu(百度)が提供するAndroid用ソフトウェア開発キット(SDK)である「Moplus」に、バックドア(侵入口)が仕掛けられていることを明らかにしました。
これにより、Moplusを使って開発されたアプリには、ユーザーに無断でAndroid端末に連絡先の追加やメール送信、ファイルのアップロード、アプリのインストールなどを遠隔で実行されてしまう危険性があると指摘されており、約1億人のAndroidユーザーが影響を受けたとみられています。
MoplusはWormholeと呼ばれる脆弱性を抱えていましたが、トレンドマイクロがこの脆弱性について調査を進めたところ、不具合による脆弱性とは関連のないバックドア型不正プログラムがSDK自体に備わっていることがわかり、意図的に外部操作をおこなえるよう仕込まれたものであるとの見解が示されています。
これらバックドア動作の前提となる条件は、端末をインターネットに接続するだけ。Moplusによって設定されたローカルHTTPサーバでは識別認証がおこなわれないため、アプリ開発者だけでなくTCPポート番号を知っていれば、誰もが感染端末を攻撃することが可能とのこと。こうしたことからトレンドマイクロは、動画メッセージが届くだけでスマホが乗っ取られる「Stagefright」脆弱性よりも悪質と評しています。
- com.qiyi.video
- com.baidu.video
- com.baidu.BaiduMap
- com.baidu.browser.apps
- com.baidu.appsearch
- com.nd.android.pandahome2
- com.hiapk.marketpho
- com.baidu.hao123
- com.baidu.searchbox
- tv.pps.mobile
- com.mfw.roadbook
- com.tuniu.app.ui
- com.ifeng.newvideo
- com.baidu.netdisk
- com.quanleimu.activity
- com.dragon.android.pandaspace
- com.yuedong.sport
- com.dongqiudi.news
- air.fyzb3
- com.managershare
現在確認されているMoplus SDKが組み込まれたアプリは1万4112種類あり、そのうちBaiduの公式アプリが4014種です。人気上位20アプリは上記リストの通りで、たとえば「Baidu Map」では、起動時に不正サービスがバックグラウンドで動作し、遠隔操作からAndroid端末に連絡先が追加されることが確認されています。
Baidu本社が開発したSDK「 #Moplus 」に関する報道が一部ございましたが、
バイドゥ(Baidu日本法人)が提供する「 #Simeji 」については本SDKは使用しておりません。
— Simeji(日本語入力キーボード) (@Simeji_pr) 2015, 11月 9
この問題についてBaiduは、2015年10月30日からこの脆弱性について対処しており、修正を加えた更新アプリをすでにGoogle Playに提出しているとのことですが、すべての不正な機能が除去されたわけではないとも指摘されています。なお、Baidu日本法人は、同社が提供する文字入力アプリ「Simeji」にはMoplus SDKは使用されていないと表明しています。
