パスワードを忘れた? アカウント作成
12576542 story
セキュリティ

BaiduのAndroid用SDK「Moplus」にバックドア 116

ストーリー by hylom
なおSDKドキュメントは中国語のみでした 部門より

Baiduが提供しているAndroid向けアプリケーションの多くにバックドアがあることが発見された。原因はBaiduの「Moplus SDK」にあるとのことで、このSDKを利用しているほかのアプリケーションも影響を受けるという(トレンドマイクロ)。

問題のMoplus SDKは、Baiduの应用内搜索(inApp)という機能をアプリから利用するためのライブラリ。「inApp SDK」とも呼ばれているようだ。Baidu製のAndroidアプリケーションの多くで使われているほか、それ以外の開発者によるAndroidアプリでも採用が確認されている。

このSDKを使用したアプリケーションを起動するとHTTPサーバーがバックグラウンドで起動し、受信したメッセージに応じてさまざまな処理が実行されるようになっているという。これにより端末の情報を外部に送信したり、端末のさまざまな操作を行うことができてしまうようだ。このHTTPサーバーには認証機能などは備えられていないため、待ち受けをしているポート番号さえ分かれば誰もがこれを利用した攻撃を行えてしまうとのこと。

Baiduが意図的にこの脆弱性を組み込んだかどうかは明らかにされていないが、トレンドマイクロは「Moplus SDK がバックドア型不正プログラムである」としている。なおBaidu側はこの問題を認識し、対処を進めているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年11月09日 15時42分 (#2914416)

    >なおBaidu側はこの問題を認識し、対処を進めているという。
    中国語で対処って、別のバックドアを追加するって意味ですよね

  • by Anonymous Coward on 2015年11月09日 16時20分 (#2914432)

    百度って今までに何度もマルウェアまがいのソフトを作成して話題になってたけど、今回のは完全にマルウェアじゃないかよw

    Baiduが意図的にこの脆弱性を組み込んだかどうかは明らかにされていないが

    もし意図的に組み込んでないなら、プログラマのセキュリティーに対する認識や社内のセキュリティ体制が低すぎるって事になって、それはそれで大問題だな

    • Re:何度目だ百度 (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2015年11月09日 19時21分 (#2914552)

      「攻撃の日常化」が目的でしょう。

      たとえば、ロシアはよく日本の防衛識別圏ギリギリまで爆撃機を飛ばしたり、
      中国も日常的に尖閣諸島へ領海侵犯したりしてますよね。
      そうやって「攻撃一歩手前」な状況を日常化することで相手側を慣れさせてしまうんですよ。
      本来で有れば十歩前、百歩手前で大騒ぎするべき所を、玉葱の皮を剥がすように時間をかけて少しずつ削り取っていく。
      そして自陣の準備が整った時に、最後のたった一枚を易々と突き破って相手に致命的な打撃を与える、
      もしくは「与えられる状況」を背景に外交を有利に進める(無茶苦茶な要求を呑ませる)わけです。
      自衛隊がロシアの爆撃機に毎回スクランブルをかけるのは、この「玉葱の皮」を一枚でも守るためでもあります。

      翻って今回の騒動も、
      「中国企業がまた何かやらかしてるけど、いつもの事だし、今度もネタになるだけで終わるだろ」
      常日頃から安心させきって、気がついたら全世界のスマホがいつでも中国政府の号令一つで全情報を吸い取られる事態になっていた、
      なんて最悪の事態(中国政府にとっては最良の事態)を作り出すための戦略の一環だと考えるべきだと思います。

      親コメント
      • by aoppana (16506) on 2015年11月11日 22時24分 (#2915803) 日記

        挙げられたように「ギリギリまで来るけど何もしない」ならその筋も考えられますが、今回のは一線越えちゃってるんで。
        今回のような事例が日常化すれば、慣れるどころか百度(ひいては中国自体)への警戒心は強まるばかりではないでしょうか。
        # それもある意味「慣れ」ではあるが

        親コメント
    • by nemui4 (20313) on 2015年11月10日 8時35分 (#2914776) 日記

      ☓百度って今までに何度もマルウェアまがいのソフトを作成して話題になってたけど、今回のは完全にマルウェアじゃないかよw
      ○百度って今までに何度もマルウェアまがいのソフトが発覚して話題になってたけど、今回のは完全にマルウェアじゃないかよw

      常にそれらは存在していて、よくバレている。
      と思ってた。

      親コメント
    • by plauda (46850) on 2015年11月10日 23時11分 (#2915189)

      百度だけにバックドアが沢山・・・「どこでもドアー」ですね。

      親コメント
    • by Anonymous Coward

      今までを見てて、それでも百度とお付き合いする義理が、
      中国在住(これは仕方ないかも)以外の人に何故あるのだろう?(あとマルウェア検証チーム)

      使わなきゃいいのに。

    • by Anonymous Coward

      プログラマの副業なんでは?
      個人情報を売ってもうける。

    • by Anonymous Coward

      本当に単にセキュリティ意識が低い気がする。
      まあそういう製品を使ってとばっちりを受けるのはたまらないので、絶対使わないです。

      • by Anonymous Coward

        中国共産党が命じた国家安全保障に寄与すると云う、中国共産党防衛へのセキュリティ意識に溢れる企業だろう、Baiduは。

      • by Anonymous Coward

        ×セキュリティ意識が低い
        ○セキュリティ意識が無い
        ◎盗まれるほうが悪い

        いや、冗談ではなく

  • by Anonymous Coward on 2015年11月09日 16時27分 (#2914434)

    こっちが玄関だ! 私たち(誰?)にとってはな。

  • by Anonymous Coward on 2015年11月09日 19時29分 (#2914557)

    Bsidu製ソフトにバックドアがあってもニュースにならない。
    ニュースになるのは、逆にバックドアがなかった場合でしょう。

  • by Anonymous Coward on 2015年11月10日 10時08分 (#2914808)

    レノボ、バイドゥ、基本的に人権という概念のない国の企業だから
    なんでもありだね

  • そうすると、一万本ぐらいのアプリが全部削除されて開発者涙目なのか、お前のSDKのせいで機会損失を受けたと集団訴訟食らうのか

  • すごいな、世界の百度ともなると、意図せず脊髄反射か何かでこれだけの機能を作り込めるプログラマを擁してるのか。
  • by Anonymous Coward on 2015年11月09日 16時47分 (#2914443)

    F-Secureの、このタレコミから掲載までの反応速度の違い
    何に起因するんでしょう?

    • by ma_kon2 (9679) on 2015年11月09日 16時57分 (#2914449) 日記
      F-Secureのやつはネタ自体がフレームの元だからじゃない?
      そんな気がしたから,自分も日記の方にチラ裏しかできなかった。
      親コメント
    • by Anonymous Coward

      いつものBaidu何をいまさらだからでしょう(笑)

    • by Anonymous Coward

      F-Secureの件がまとまってるサイト知りませんか?
      どうも纏まりに欠けるというか、確認された事実なのかどうか分からない内容が羅列されている印象で理解しにくい。
      それなりに大きなセキュリティインシデントなんじゃないかと危惧してるんですが。

      • by ma_kon2 (9679) on 2015年11月10日 11時26分 (#2914850) 日記
        住所さらして凸してやる!みたいにいってたら,住所さらされて凸された,というだけのお話。
        そもそもが,フェイスブックにアップされてた風刺画を自ら拡散,
        そしたら「いいね!」を大量に押されて,
        むかついたので,ソーシャルハッキングで個人情報集めて公開,
        反撃くらって自らの個人情報も拡散されて,挙げ句の果てに自宅に凸された,と。
        震えて砂かんでろといったら,自分が震えて砂かむハメになったり,
        個人情報は自衛しないと~とか本職の方で言ってたら,自分がザルだったりと,
        ツッコミどころが満載というか。

        お仲間のツイートですと,会社にはまだシンパがいるように臭わせてますが,ブラフかどうかはわかりません。
        公開された住所録自体は,やろうと思えば誰でも出来るソーシャルハッキングであって,
        会社のシステムとは関係なさそうですし, ともかく,残ったのは「ぱよちん」という名言のみで,
        ITネタとしては非常にくだらないので,興味がなければ気にしなくても良いレベルですよ。
        何つーか左右のイデオロギー関係なしに馬鹿らしい。バイトテロと同レベルですよ。
        本物の工作員だったら,床に穴が空いて全自動で粛正されるレベル。
        親コメント
      • by Anonymous Coward

        ×F-secure(フィンランドのセキュリティ会社)
        ○エフセキュア(F-secureの日本法人、要は営業窓口)

        加えて被疑者は営業担当。
        facebookから情報を収集し一覧にして公開したとかで、情報漏洩ではない。
        セキュリティは全く関係ない。

        http://www.itmedia.co.jp/news/articles/1511/05/news070.html [itmedia.co.jp]

        顛末を記した記事は↑とか。
        多分理解し難いのは、重大な出来事だと決めてかかって読んでるからだと思うよ。

        • by Anonymous Coward on 2015年11月09日 17時31分 (#2914488)
          ・セキュリティ企業に勤務する人間が、意図的にプライバシー侵害を行った
          ・その人物はかつて別件で、「セキュリティ業界の総力を挙げて相手の身元を暴く」旨のツイートをした

          「セキュリティは全く関係ない」んですか?
          親コメント
        • by Anonymous Coward on 2015年11月09日 17時41分 (#2914495)

          それ以前の発言で「共産党に投票した人が多い会社に優先的に発注した」とかツイートしてたのも掘り出されてるから、会社が無関係とは思えない。
          少なくとも自分の思想信条を会社としての利益より優先してたことは確かなわけで、業務規定に則って仕事してた健全な社員というわけじゃないことは確か。

          で、そんな社員が「不正にアクセスしてたか」をたかだか1日や2日で検証した(ことにした?)だけで「不正アクセスはありませんでした」なんてプレスリリース打って片付けるような会社じゃ信用ならんと思うがねぇ。
          少なくともエフセキュアの事業や活動にまったく影響がなかったとは到底言えんのだし。

          # んでエフセキュアの代表が韓国のセキュリティ系シンクタンクの代表もやってるわけで、状況証拠で見ればかなり怪しい

          親コメント
          • by Anonymous Coward

            DBへのアクセスを1日や2日で検証できないようであれば、セキュリティ会社として失格だと思いますよ。
            そもそも犯人が社内のDBへのアクセス権を持ってるかも怪しいって話ですし。

            • by Anonymous Coward

              他のユーザーの権限を不正に使用した可能性とか調査しなくていいなら不正アクセスの調査って凄く楽だね!

              そんな調査を1日2日で終わらせちゃう程度のセキュリティ会社のほうが余程、失格だよ。

        • by nemui4 (20313) on 2015年11月10日 8時36分 (#2914777) 日記

          >セキュリティは全く関係ない。

          すごいね。

          親コメント
    • by Anonymous Coward

      F-Secureのは政治ネタだからいいよもう……
      スラドで政治ネタはうんざり。

  • by Anonymous Coward on 2015年11月09日 17時01分 (#2914454)

    中共系で働いてる人なら、当然導入してますよね?
    これはSNMPですよ

    • Re:正しい動作。 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2015年11月09日 17時22分 (#2914479)

      昔、中国では国内の全PCに管理ソフトを強制導入しようとしてたし(頓挫した?)、
      お上から全ソフトにバックドアを埋め込むように指示され、個別に実装するのも
      手間だからSDK内に実装した、というのは現実にあり得ると思う。

      親コメント
  • by Anonymous Coward on 2015年11月09日 17時08分 (#2914460)

    国策でバックドアを作らないと配布できなんじゃ?

    • by Anonymous Coward on 2015年11月09日 18時07分 (#2914511)

      > 国策でバックドアを作らないと配布できなんじゃ?

      中国向けiPhoneでは、バックドアを提供しないと販売させないと中国政府が強硬姿勢だったってのは事実ですね。
      現時点ではiPhoneが公式に販売されるようになりましたが、あの話はどう決着したんだろう。
      中国企業のSIM刺したときだけバックドアが開くとかそういう仕掛けされてるんだろうか。

      親コメント
    • by Anonymous Coward
      どうしてアメリカ製に無いと思った?
      • by Anonymous Coward

        実際にバックドアを暴露できたらもっとよかった。
        あるに違いないという思い込みだけじゃ嘲笑の対象にしかならん。

      • by Anonymous Coward

        誰がアメリカ製に無いと言った?

      • by Anonymous Coward

        いつから、中国がNSA並の大規模盗聴・侵入活動を行っていないと錯覚していた?

  • by Anonymous Coward on 2015年11月09日 17時16分 (#2914469)

    なんかちょっとワクワクする。

    • by Anonymous Coward

      zaurusのHTTPサーバ上に、オフラインの当日用コミケ購入リストを用意していた人間からすると
      Android上でなんでまともな(Apacheくらいの)HTTPサーバソフトがないのか不思議でした。

      まーもう既にコミケ会場でも、それなりの電波があるので、awsとかで困らなくなりましたが。

  • by Anonymous Coward on 2015年11月09日 17時26分 (#2914483)

    Skypeも中国だけ中国国内用に中国のサイトで配布されている。
    当然バックドアがあるのでしょう。

  • by Anonymous Coward on 2015年11月09日 18時04分 (#2914508)

    iOSもXcodeGhostが関与したアプリに代表される危険なアプリがAppStoreにバンバン出回ってますからね。
    それと同じで、GooglePlayでも信用できないアプリを入れないことだけが重要。
    この点を利用者がきっちり守るように誘導することが提供者側の義務であり役目です。

    今こそ、
    「AppleのAppStoreもGoogleのGooglePlayも、それぞれ明確に危険がある、利用者は危険性をしっかり理解して使うこと」
    と啓もう活動をするべきです。
    もしそれに反抗するような提供者がいたら、それは完全消費者の敵と断言できます。

    • メールの添付ファイルを開いてウィルス感染する事例が後を絶たないのを見るに、そろそろ啓蒙以外の何かも考えた方がいい時期に来ているのではないだろうか。
      # さすがに開発環境まで見抜けというのは無理筋だろうし

      親コメント
    • by Anonymous Coward

      信用できないアプリって何?
      Baidu製アプリを入れないようにするのは簡単だろうが、Baidu製ライブラリを使ったアプリをどうやって入れないようにするの?

typodupeerror

人生unstable -- あるハッカー

読み込み中...