BaiduのAndroid用SDK「Moplus」にバックドア 116
ストーリー by hylom
なおSDKドキュメントは中国語のみでした 部門より
なおSDKドキュメントは中国語のみでした 部門より
Baiduが提供しているAndroid向けアプリケーションの多くにバックドアがあることが発見された。原因はBaiduの「Moplus SDK」にあるとのことで、このSDKを利用しているほかのアプリケーションも影響を受けるという(トレンドマイクロ)。
問題のMoplus SDKは、Baiduの应用内搜索(inApp)という機能をアプリから利用するためのライブラリ。「inApp SDK」とも呼ばれているようだ。Baidu製のAndroidアプリケーションの多くで使われているほか、それ以外の開発者によるAndroidアプリでも採用が確認されている。
このSDKを使用したアプリケーションを起動するとHTTPサーバーがバックグラウンドで起動し、受信したメッセージに応じてさまざまな処理が実行されるようになっているという。これにより端末の情報を外部に送信したり、端末のさまざまな操作を行うことができてしまうようだ。このHTTPサーバーには認証機能などは備えられていないため、待ち受けをしているポート番号さえ分かれば誰もがこれを利用した攻撃を行えてしまうとのこと。
Baiduが意図的にこの脆弱性を組み込んだかどうかは明らかにされていないが、トレンドマイクロは「Moplus SDK がバックドア型不正プログラムである」としている。なおBaidu側はこの問題を認識し、対処を進めているという。
中国語のおじかん (スコア:1)
>なおBaidu側はこの問題を認識し、対処を進めているという。
中国語で対処って、別のバックドアを追加するって意味ですよね
Re:中国語のおじかん (スコア:1, すばらしい洞察)
△別のバックドアを追加する
○バレにくいバックドアを別途追加する
Re:中国語のおじかん (スコア:2)
何度目だ百度 (スコア:1)
百度って今までに何度もマルウェアまがいのソフトを作成して話題になってたけど、今回のは完全にマルウェアじゃないかよw
もし意図的に組み込んでないなら、プログラマのセキュリティーに対する認識や社内のセキュリティ体制が低すぎるって事になって、それはそれで大問題だな
Re:何度目だ百度 (スコア:5, すばらしい洞察)
「攻撃の日常化」が目的でしょう。
たとえば、ロシアはよく日本の防衛識別圏ギリギリまで爆撃機を飛ばしたり、
中国も日常的に尖閣諸島へ領海侵犯したりしてますよね。
そうやって「攻撃一歩手前」な状況を日常化することで相手側を慣れさせてしまうんですよ。
本来で有れば十歩前、百歩手前で大騒ぎするべき所を、玉葱の皮を剥がすように時間をかけて少しずつ削り取っていく。
そして自陣の準備が整った時に、最後のたった一枚を易々と突き破って相手に致命的な打撃を与える、
もしくは「与えられる状況」を背景に外交を有利に進める(無茶苦茶な要求を呑ませる)わけです。
自衛隊がロシアの爆撃機に毎回スクランブルをかけるのは、この「玉葱の皮」を一枚でも守るためでもあります。
翻って今回の騒動も、
「中国企業がまた何かやらかしてるけど、いつもの事だし、今度もネタになるだけで終わるだろ」と
常日頃から安心させきって、気がついたら全世界のスマホがいつでも中国政府の号令一つで全情報を吸い取られる事態になっていた、
なんて最悪の事態(中国政府にとっては最良の事態)を作り出すための戦略の一環だと考えるべきだと思います。
Re:何度目だ百度 (スコア:2)
挙げられたように「ギリギリまで来るけど何もしない」ならその筋も考えられますが、今回のは一線越えちゃってるんで。
今回のような事例が日常化すれば、慣れるどころか百度(ひいては中国自体)への警戒心は強まるばかりではないでしょうか。
# それもある意味「慣れ」ではあるが
Re:何度目だ百度 (スコア:2)
☓百度って今までに何度もマルウェアまがいのソフトを作成して話題になってたけど、今回のは完全にマルウェアじゃないかよw
○百度って今までに何度もマルウェアまがいのソフトが発覚して話題になってたけど、今回のは完全にマルウェアじゃないかよw
常にそれらは存在していて、よくバレている。
と思ってた。
どこでもドアー (スコア:1)
百度だけにバックドアが沢山・・・「どこでもドアー」ですね。
Re: (スコア:0)
今までを見てて、それでも百度とお付き合いする義理が、
中国在住(これは仕方ないかも)以外の人に何故あるのだろう?(あとマルウェア検証チーム)
使わなきゃいいのに。
ああ、わかった (スコア:1)
仏の顔も百度というギャグなのか。
Re: (スコア:0)
プログラマの副業なんでは?
個人情報を売ってもうける。
Re: (スコア:0)
本当に単にセキュリティ意識が低い気がする。
まあそういう製品を使ってとばっちりを受けるのはたまらないので、絶対使わないです。
Re: (スコア:0)
中国共産党が命じた国家安全保障に寄与すると云う、中国共産党防衛へのセキュリティ意識に溢れる企業だろう、Baiduは。
Re: (スコア:0)
×セキュリティ意識が低い
○セキュリティ意識が無い
◎盗まれるほうが悪い
いや、冗談ではなく
バックドア? 失礼な (スコア:1)
こっちが玄関だ! 私たち(誰?)にとってはな。
どこにニュース性があるのか? (スコア:1)
Bsidu製ソフトにバックドアがあってもニュースにならない。
ニュースになるのは、逆にバックドアがなかった場合でしょう。
知ってた (スコア:1)
レノボ、バイドゥ、基本的に人権という概念のない国の企業だから
なんでもありだね
トレンドマイクロがそう言ったってことはウイルスバスタークラウドで削除するわけ? (スコア:0)
そうすると、一万本ぐらいのアプリが全部削除されて開発者涙目なのか、お前のSDKのせいで機会損失を受けたと集団訴訟食らうのか
Re:トレンドマイクロがそう言ったってことはウイルスバスタークラウドで削除するわけ? (スコア:1)
集団訴訟で勝訴したところで現実的に支払うのかどうか……現地法人にかわりに負担させるとかってできるんだろうか。
それ以前に、中国の法廷に持ち込まれたらまず勝ち目ないしなぁ。
意図的にこの脆弱性を組み込んだかどうかは明らかにされていない (スコア:0)
Baiduと (スコア:0)
F-Secureの、このタレコミから掲載までの反応速度の違い
何に起因するんでしょう?
Re:Baiduと (スコア:3)
そんな気がしたから,自分も日記の方にチラ裏しかできなかった。
Re: (スコア:0)
いつものBaidu何をいまさらだからでしょう(笑)
Re: (スコア:0)
F-Secureの件がまとまってるサイト知りませんか?
どうも纏まりに欠けるというか、確認された事実なのかどうか分からない内容が羅列されている印象で理解しにくい。
それなりに大きなセキュリティインシデントなんじゃないかと危惧してるんですが。
Re:Baiduと (スコア:2)
そもそもが,フェイスブックにアップされてた風刺画を自ら拡散,
そしたら「いいね!」を大量に押されて,
むかついたので,ソーシャルハッキングで個人情報集めて公開,
反撃くらって自らの個人情報も拡散されて,挙げ句の果てに自宅に凸された,と。
震えて砂かんでろといったら,自分が震えて砂かむハメになったり,
個人情報は自衛しないと~とか本職の方で言ってたら,自分がザルだったりと,
ツッコミどころが満載というか。
お仲間のツイートですと,会社にはまだシンパがいるように臭わせてますが,ブラフかどうかはわかりません。
公開された住所録自体は,やろうと思えば誰でも出来るソーシャルハッキングであって,
会社のシステムとは関係なさそうですし, ともかく,残ったのは「ぱよちん」という名言のみで,
ITネタとしては非常にくだらないので,興味がなければ気にしなくても良いレベルですよ。
何つーか左右のイデオロギー関係なしに馬鹿らしい。バイトテロと同レベルですよ。
本物の工作員だったら,床に穴が空いて全自動で粛正されるレベル。
Re:Baiduと (スコア:2)
それこそご本人の身元が割れたみたいに。
翻訳サービスとかみたく,人海戦略のスピードは馬鹿にならないと思います。
デモに動員かけるよりは手軽ですし。
でもまあ,ITネタじゃないよね。
いつ身バレするか分からないからこそ,邪悪になるなかれ,という教訓は残りましたが。
Re: (スコア:0)
×F-secure(フィンランドのセキュリティ会社)
○エフセキュア(F-secureの日本法人、要は営業窓口)
加えて被疑者は営業担当。
facebookから情報を収集し一覧にして公開したとかで、情報漏洩ではない。
セキュリティは全く関係ない。
http://www.itmedia.co.jp/news/articles/1511/05/news070.html [itmedia.co.jp]
顛末を記した記事は↑とか。
多分理解し難いのは、重大な出来事だと決めてかかって読んでるからだと思うよ。
Re:Baiduと (スコア:1)
・その人物はかつて別件で、「セキュリティ業界の総力を挙げて相手の身元を暴く」旨のツイートをした
「セキュリティは全く関係ない」んですか?
Re:Baiduと (スコア:2)
疑われて,所属企業や,業界団体に影響が出るのは仕方ないところ。
バイトテロ程度の事案だとしても。
Re:Baiduと (スコア:1)
それ以前の発言で「共産党に投票した人が多い会社に優先的に発注した」とかツイートしてたのも掘り出されてるから、会社が無関係とは思えない。
少なくとも自分の思想信条を会社としての利益より優先してたことは確かなわけで、業務規定に則って仕事してた健全な社員というわけじゃないことは確か。
で、そんな社員が「不正にアクセスしてたか」をたかだか1日や2日で検証した(ことにした?)だけで「不正アクセスはありませんでした」なんてプレスリリース打って片付けるような会社じゃ信用ならんと思うがねぇ。
少なくともエフセキュアの事業や活動にまったく影響がなかったとは到底言えんのだし。
# んでエフセキュアの代表が韓国のセキュリティ系シンクタンクの代表もやってるわけで、状況証拠で見ればかなり怪しい
Re: (スコア:0)
DBへのアクセスを1日や2日で検証できないようであれば、セキュリティ会社として失格だと思いますよ。
そもそも犯人が社内のDBへのアクセス権を持ってるかも怪しいって話ですし。
Re: (スコア:0)
他のユーザーの権限を不正に使用した可能性とか調査しなくていいなら不正アクセスの調査って凄く楽だね!
そんな調査を1日2日で終わらせちゃう程度のセキュリティ会社のほうが余程、失格だよ。
Re:Baiduと (スコア:1)
>セキュリティは全く関係ない。
すごいね。
Re: (スコア:0)
F-Secureのは政治ネタだからいいよもう……
スラドで政治ネタはうんざり。
Re:Baiduと (スコア:1)
どっちかというと、エフセキュアの対応のほうが興味深い案件ではある
紺屋の白袴的意味で
Re: (スコア:0)
同じく。
正しい動作。 (スコア:0)
中共系で働いてる人なら、当然導入してますよね?
これはSNMPですよ
Re:正しい動作。 (スコア:2, すばらしい洞察)
昔、中国では国内の全PCに管理ソフトを強制導入しようとしてたし(頓挫した?)、
お上から全ソフトにバックドアを埋め込むように指示され、個別に実装するのも
手間だからSDK内に実装した、というのは現実にあり得ると思う。
中国製ソフトなんであって当然 (スコア:0)
国策でバックドアを作らないと配布できなんじゃ?
Re:中国製ソフトなんであって当然 (スコア:1)
> 国策でバックドアを作らないと配布できなんじゃ?
中国向けiPhoneでは、バックドアを提供しないと販売させないと中国政府が強硬姿勢だったってのは事実ですね。
現時点ではiPhoneが公式に販売されるようになりましたが、あの話はどう決着したんだろう。
中国企業のSIM刺したときだけバックドアが開くとかそういう仕掛けされてるんだろうか。
Re: (スコア:0)
Re: (スコア:0)
実際にバックドアを暴露できたらもっとよかった。
あるに違いないという思い込みだけじゃ嘲笑の対象にしかならん。
Re: (スコア:0)
誰がアメリカ製に無いと言った?
Re: (スコア:0)
いつから、中国がNSA並の大規模盗聴・侵入活動を行っていないと錯覚していた?
AndroidをHTTPサーバのホストにするという発想 (スコア:0)
なんかちょっとワクワクする。
Re: (スコア:0)
zaurusのHTTPサーバ上に、オフラインの当日用コミケ購入リストを用意していた人間からすると
Android上でなんでまともな(Apacheくらいの)HTTPサーバソフトがないのか不思議でした。
まーもう既にコミケ会場でも、それなりの電波があるので、awsとかで困らなくなりましたが。
中国政府の命令でしょ (スコア:0)
Skypeも中国だけ中国国内用に中国のサイトで配布されている。
当然バックドアがあるのでしょう。
信用できないアプリを入れることが危険 (スコア:0)
iOSもXcodeGhostが関与したアプリに代表される危険なアプリがAppStoreにバンバン出回ってますからね。
それと同じで、GooglePlayでも信用できないアプリを入れないことだけが重要。
この点を利用者がきっちり守るように誘導することが提供者側の義務であり役目です。
今こそ、
「AppleのAppStoreもGoogleのGooglePlayも、それぞれ明確に危険がある、利用者は危険性をしっかり理解して使うこと」
と啓もう活動をするべきです。
もしそれに反抗するような提供者がいたら、それは完全消費者の敵と断言できます。
Re:信用できないアプリを入れることが危険 (スコア:2)
メールの添付ファイルを開いてウィルス感染する事例が後を絶たないのを見るに、そろそろ啓蒙以外の何かも考えた方がいい時期に来ているのではないだろうか。
# さすがに開発環境まで見抜けというのは無理筋だろうし
Re: (スコア:0)
信用できないアプリって何?
Baidu製アプリを入れないようにするのは簡単だろうが、Baidu製ライブラリを使ったアプリをどうやって入れないようにするの?