Baiduの「Simejiプライバシーロック」に脆弱性 33
ストーリー by hylom
しかしへこたれないBaidu 部門より
しかしへこたれないBaidu 部門より
BlackWingCat 曰く、
先日中国Baiduが提供するAndroid向けSDK「Moplus」にバックドアとなる脆弱性が発見された。これについてBaiduの日本法人は同社が提供する人気のIME「Simeji」」には使用していないと述べていたのだが、この「Simeji」の名を冠する別アプリ「Simejiプライバシーロック」にMoplusとは別の脆弱性が発見された(ITmedia)
なお、Simejiプライバシーロックのバイナリを解析したところMoPlusという文字列が含まれていたという話もある。この問い合わせに対しBaidu側は「バイナリ内に文字列は残っているが、MoPlus自体は使っていない」という旨の回答をしたとのこと。ただ、それでも脆弱性は残っていたとのことで、公開停止の決定に至ったようだ。
ちょっと違うよ・ω・; (スコア:5, 参考になる)
バイナリ内にあったのは "moplus"という文字列以外に
"MoPlusService"というMoPlus SDKで使われてるものとそのまま同じ名前も含まれていたんだよ。
どういうところに使われていたかというと、社内では、MoPlusService というクラス名を PushService という名前に置き換えて、どちらのクラス名の実装でも動作するように、利便性を考えて実装されていたか、リプレイスする途中のコードを消し忘れていたというのが読み取れるんだ。
だから、この元 MoPlusService というクラス内に LocalServerSocket を生成して、外部から接続できるような処理がある事自体が、MoPlus SDK の消し忘れた機能であるっていうのならまだ合理的なんだけど、後から接続できる機能を実装したというのなら悪質だと思うんだ。
なんか、タレこみの内容がアレだけど、正確にいうと
『BaiduのMoplus SDKに脆弱性「Wormhole」があったが、それと別のバックドアが存在することが分かった』のだけど、それと同様のバックドアが、Simeji ブランドで出した Simejiプライバシーロック(DU Apps Studio という 百度の海外向け開発チームが作ったアプリのローカライズ版)に含まれてたってことだと思っているので 『MoPlus ではないけど別の脆弱性』って説明には疑問が残り、それが本当なら、悪意のある実装を後からやったと取られても仕方ない気がする。
邪推大会 (スコア:2)
☓・・・「Simejiプライバシーロック」にMoplusとは別の脆弱性が発見された
○・・・「Simejiプライバシーロック」にMoplusとは別のバックドアを仕掛けていたのがバレた
☓Baidu側は「バイナリ内に文字列は残っているが、MoPlus自体は使っていない」
○Baidu側は「バイナリ内に文字列を残しているのは、MoPlusに目を向けさすためだ」
☓それでも脆弱性は残っていたとのことで、公開停止の決定に至ったようだ。
○それでもバックドアを見つけられたので、公開停止の決定に至ったようだ。
Re:邪推大会 (スコア:1)
邪推自体を皮肉ってるように見えますよ。
nemui4のことだから根拠のないこと書くのを我慢できなかった、でも邪推とは言われたくないので先に言っておいたのだと思うけど。
Re: (スコア:0)
いやこれ邪推じゃなくてあってるんじゃないか。
バイドゥの行いはそうとしか思えないよ。
Re:邪推大会 (スコア:1)
あら、でも荒らしでマイナスモデされてますね。
ということは正論だったのか。
Re: (スコア:0)
どう取っても不快感を煽るコメントなんだもの、仕方ないね。
Re:邪推大会 (スコア:1)
正論は否定されて当然なのが世の中ですから。
特に空気が読めてないとこうなるという事例かも。
この投稿に関してはマイナスモデも付けられていますが、それに対するプラスモデもついています。
時々ものすごいモデレーション合戦もありますね、特定の団体に関する話題だと特に振れ幅もモデレーションされる数も大きくなります。
># なんでこの人は、自分が差別側にいたときと被差別側にいたときで態度が極端に変わるんだろう。
モデレーターもあなたの「側」だけにいるのではないようです。
他の投稿でもそうでしょうけど、プラスとマイナスのモデが色々つくので人の見方も色々だと言うのがわかるのでスラドは面白い。
ちがうちがう (スコア:0)
>正論は否定されて当然なのが世の中ですから。
そうじゃない。
「正論(正しい)からといって受け入れられべきと考えるなら大間違い」とか、
「正論がいつも肯定されると思ってたらい大間違いだ」とかだ。
どちらかというと
>空気が読めてないとこうなる
という意味の方が近い話。
まあだからと言って#2918964が正論ではないというわけではないが、
最低でも否定されたから正論だというのは間違っている。それは偏屈者の自己肯定にすぎん。
Re:ちがうちがう (スコア:1)
正論でないのならそれでいいですね、KYで自己肯定・・・
自分くらいしか肯定してくれそうにもないのでお目こぼしを
あれから4年 (スコア:1)
バイドゥ株式会社がアンドロイド用日本語入力システム『Simeji(シメジ)』の事業を取得 [baidu.jp]
今のこの有り様が、あの時思い描いた将来像だったの? 足立さん?
Re:あれから4年 (スコア:3, すばらしい洞察)
そうじゃないですかね。
百度に関しちゃ既にあの時点でも悪さが一杯表面化してたんですから。
その上で売り渡して入社するって事は、悪さをやる前提でしょう。
Re: (スコア:0)
理想じゃおまんま食えないからね
Re: (スコア:0)
まぁ、売ったのがプロダクトじゃなくて、信用だってことですかね。
この開発者のプロダクトは信用できない。
Re: (スコア:0)
信用ある人から買えば、買い手を信頼するの?
そりゃ、思考停止以外の何者でもないだろ、と思うんだけど。
でも、思考停止してる人はいるだろうし、仕方ないか。
Re: (スコア:0)
いえ、一回裏切った、失敗した人間は信用しないという事です。
これいるのか? (スコア:1)
>>同社が提供する人気のIME「Simeji」
「人気の」?
Re: (スコア:0)
OpenWnnにマルウェアを足したIMEかな
こんなメーカーがプライバシーロックのアプリを作ってたとは
Re: (スコア:0)
次はF-Secureあたり買収しそうな予感。
セキュリティソフトならやりたい放題だよね。
Re: (スコア:0)
日本エフセキュア社とF-secure社の区別がつかない馬鹿が多過ぎる。
馬鹿が考えることは理解できんが、まさかF-secureが日本の製品だとでも思ってるんだろうか。
Re: (スコア:0)
すみませんが、一体何の話をされてるんですか?
なんでいきなり日本がどうのとか言ってるのやら??
中国Baiduと日本Baiduは区別しろという主張? でもどっちも怪しいってストーリーですよね、これ。
Re: (スコア:0)
本社もお咎め無しで済ましてるのか手綱握れてないのかだから、
本社も同類であるとかローカライズで仕込みされるとか、幾らでも。
Re: (スコア:0)
一般の人はSimejiの危険性とか全然知らないから、知名度のある分、平気で使ってるよ。
iOSのAppStoreでも28000もレビューついてる。おめでたい人たち。
あ、でも1行コメントが多いし、コメント買ってる可能性高いな。
Re:これいるのか? (スコア:2, 興味深い)
会社でGOM Playerと共に、名指しでウイルス扱いされているので
大手企業の間ではインストール禁止の悪名高いソフトとなっていると思われます。
Re:これいるのか? (スコア:1)
未だBaiduが買収する前に当時のスマホ(IS11CA)で使ってみてましたが、このスマホがハードウェア的に貧困過ぎたり色々問題を抱えていたので、すぐに固まったりして使いモノにならないから放置してたんですよね。
元々ATOKついていたし。
で、新しいスマホを買ったら、Wnn系の「使い勝手の良くない」UIのしかなかったのでIMEを導入する必要が出たのですが、この時点ではBaidu社自体の製品に対するスパイウェアの噂が出ていたので、Simejiもなんか仕込まれてるろうな…と思ったら(;´Д`)
結局、月額制のATOKにしましたとさ。
Re:これいるのか? (スコア:1)
>あ、でも1行コメントが多いし、コメント買ってる可能性高いな。
そらあの国ですから、おして知るべし
Re: (スコア:0)
ソーシャルIMEがsimejiじゃないと使えないと勘違いしてる人多いからね
Wnnで充分なのに。
Re: (スコア:0)
買収前はよくお勧めアプリ一覧とかに載ってたけどなあ
Re: (スコア:0)
当時はまだAndroid機における「標準搭載IMEの」精度や機能が満足できる水準になかったから「無料で使えるIME」としては人気あったのだろうけど(もちろん他にも中華端末を使用したいユーザーにとっても必須だった)、今ではまともな国産端末にはそれなりのIMEがついてるし、わざわざ入れ替えよう、他のIMEを使おうという(スラド見てるような層の方ではない)「一般の人」が果たしてどれだけいるのか。
買収の有無にかかわらず、標準でないIMEは「こだわる人」以外には用のないものになりつつあるのだと思います。ATOKくらいの知名度があれば別ですが。
moplusじゃなくて (スコア:0)
moplusの元になったライブラリを含んでる。
だからmoplusじゃないと。
Re: (スコア:0)
名前だけで判断するのも恐ろしいよな。全てのソースコードの固有名詞を置き換えるなんて簡単にできるんだから、問題ないとされているソフトにも実は使ってるやつがあるかもしれないってことなので……
兄貴… (スコア:0)
兄貴「やっぱりな」
Shimejiスパイシーロック (スコア:0)
最初は素で誤読した。
内容的にも大体あってる。