「百度(Baidu)」のSDKに脆弱性がある?ない?

中国の検索エンジン最大手である「百度(Baidu)」。日本語版もかつては提供されており聞いたことあるかと思います。

 

その「百度(Baidu)」のソフトウェア開発キット(SDK)である「Moplus」に「Wormhole」という脆弱性が発見されたと中国の脆弱性報告プラットホームが発表したことで話題になりました。

 

しかし、それについてトレンドマイクロ社が調査した結果、「Moplus」自体にバックドア機能が備わっており、必ずしも脆弱性に由来又は関連しているわけではないことが明らかになったそうです。
ちなみに、バックドアとは

コンピュータセキュリティ用語としてのいわゆるバックドアは、本来はIDやパスワードを使って使用権を確認するコンピュータの機能を無許可で利用するために、コンピュータ内に(他人に知られることなく)設けられた通信接続の機能を指す。(wikipedia)

 

開発者が意図的に設置するものも、セキュリティの脆弱性を利用され作られてしまうものも併せてそう呼ぶようだ。

 

また、トレンドマイクロ社は、この 「Moplus」SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れがあると公表しております。

  • フィッシングサイトへの誘導
  • 任意の連絡先の追加
  • 偽のショート・メッセージ・サービス(SMS)送信
  • リモートサーバへのローカルファイルのアップロード
  • アプリをAndroid端末にインストール

 

詳しくない人が見ても「どう考えてもコレあかんだろ」って思いますよね。。。

 

 

またトレ社が「Moplus」SDKが組み込まれた人気アプリを上位20個発表しています。

com.qiyi.video
com.baidu.video
com.baidu.BaiduMap
com.baidu.browser.apps
com.baidu.appsearch
com.nd.android.pandahome2
com.hiapk.marketpho
com.baidu.hao123
com.baidu.searchbox
tv.pps.mobile
com.mfw.roadbook
com.tuniu.app.ui
com.ifeng.newvideo
com.baidu.netdisk
com.quanleimu.activity
com.dragon.android.pandaspace
com.yuedong.sport
com.dongqiudi.news
air.fyzb3
com.managershare

現時点の対策方法としては、「Moplus」SDKの不正動作を完全に取り除いたアップデート版が公開されない限り、該当のアプリをアンインストールするしかないようです。

 

あ、ちなみに対象者はこのSDKが非常に多くのアプリに利用されていることから1億人規模のAndroidユーザーとなっております。Androidユーザーです。

 

規模が規模だけにまだまだ影響余波はありそうです。

【参照:http://blog.trendmicro.co.jp/archives/12540

 

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性