百度がまたやった。SDK「Moplus」にバックドアを実装

2015/11/09

バックドアというの、直訳すれば「裏口」という意味ですが、クラッカー(不正を目的に他者・他社のコンピュータに侵入するもののとこ。悪意のあるハッカー。)が侵入した際に次回以降の侵入を簡単にしたり、不正なアクセスがバレて防御された場合のすり抜け道として開けておくセキュリティの穴のようなものです。

151103_comment01a

トレンドマイクロによると、「百度(ばいどぅ)」のソフトウェア開発キット(SDK)にバックドア機能が実装されていることがわかったそうです。しかも脆弱性などが原因の偶然のものではなく、意図的に組み込まれているもののようです。
http://blog.trendmicro.co.jp/archives/12540

このバックドアを利用して、ユーザーのAndroid端末に対して以下のことが可能になるそうです。

・フィッシングサイトへの誘導
・任意の連絡先の追加
・偽のショート・メッセージ・サービス(SMS)送信
・リモートサーバへのローカルファイルのアップロード
・アプリをAndroid端末にインストール

これらの不正を行うために必要な事前の条件は、インターネットに接続するだけという恐ろしさ。スマートフォンなら基本的に24時間その条件を満たしているわけです。

SDK「Moplus」を使って開発したアプリは全てこのバックドアを搭載していることになり、そのアプリをインストールした端末は百度に上記の権限を与えていることになります。完全に無法地帯ですな。恐ろしい。悪質とか悪意があるという程度の言葉では済まないでしょう。

百度といえば、スマートフォン用の日本語入力ソフト「Simeji」や「百度IME」が変換操作を行った入力内容を全て中国のサーバーに送信していたという問題がありました。
http://www.netagent-blog.jp/archives/51969764.html

しかも、Simejiに関しては、「開発段階で試験的に搭載した機能が製品版になぜか残っていた」という謎の言い訳をしていました。そもそも試験的にでもそんな機能を搭載する意味がわからない。

そして当然、SimejiはこのSDK「Moplus」を使って作ってますよね、きっと。少なくともAndroid版は。

百度にはウイルス作成罪を適用できないもんでしょうか。

百度以外でも、中国で出回っている改ざんXcodeである「XcodeGhost」や改ざんUnity「UnityGhost」を使って作成されたマルウエア入りのアプリが、App Storeで配布されていたという出来事もありました。
https://iphone-lab.net/post-433012-433012/
https://iphone-lab.net/unity-malware-433050/

中国人開発者やメーカーにも、真面目に素晴らしいアプリを開発している人はたくさんいますので、あまり差別的なことは言いたくないですが、中国製のソフトウエアの使用は極力避けたほうが無難ではないでしょうか。

スマートフォンに不正アクセスを許し、情報を盗まれるということは、自分だけの問題では収まりません。アドレス帳などに登録している家族や大切な友人たちの情報まで盗まれて、大変な迷惑をかけしまう可能性があります。

【追記】
百度の日本法人は、SimejiにはこのSDKを使っていないと発表したそうです。信じるかどうかは自由ですが。
なんにしても、バックドアの実装を「脆弱性(つまり、ついうっかり入ってしまったバグ)」と言っちゃう会社ですぜ(笑)。そんなミラクルが起こるかい!
http://simeji.me/blog/news/news_151109/id=6367

【追記2】
百度の日本法人は、iPhone版SimejiにはこのSDKは無関係であると発表したそうです。
実際AndroidのSDKなので無関係でしょうけど、他の方法でバックドアを作っているかもしれませんし、iPhone版Simejiがマルウエアでは無いという証拠にはならないですよね。

【追記3】
百度については、新しい問題も起きてますな。
https://iphone-lab.net/simeji-privacy-lock-435040/