パスワードを忘れた? アカウント作成
12584400 story
Android

Baiduの「Simejiプライバシーロック」に脆弱性 33

ストーリー by hylom
しかしへこたれないBaidu 部門より
BlackWingCat 曰く、

先日中国Baiduが提供するAndroid向けSDK「Moplus」にバックドアとなる脆弱性が発見された。これについてBaiduの日本法人は同社が提供する人気のIME「Simeji」」には使用していないと述べていたのだが、この「Simeji」の名を冠する別アプリ「Simejiプライバシーロック」にMoplusとは別の脆弱性が発見された(ITmedia

なお、Simejiプライバシーロックのバイナリを解析したところMoPlusという文字列が含まれていたという話もある。この問い合わせに対しBaidu側は「バイナリ内に文字列は残っているが、MoPlus自体は使っていない」という旨の回答をしたとのこと。ただ、それでも脆弱性は残っていたとのことで、公開停止の決定に至ったようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • バイナリ内にあったのは "moplus"という文字列以外に
    "MoPlusService"というMoPlus SDKで使われてるものとそのまま同じ名前も含まれていたんだよ。

    どういうところに使われていたかというと、社内では、MoPlusService というクラス名を PushService という名前に置き換えて、どちらのクラス名の実装でも動作するように、利便性を考えて実装されていたか、リプレイスする途中のコードを消し忘れていたというのが読み取れるんだ。

    だから、この元 MoPlusService というクラス内に LocalServerSocket を生成して、外部から接続できるような処理がある事自体が、MoPlus SDK の消し忘れた機能であるっていうのならまだ合理的なんだけど、後から接続できる機能を実装したというのなら悪質だと思うんだ。

    なんか、タレこみの内容がアレだけど、正確にいうと

    『BaiduのMoplus SDKに脆弱性「Wormhole」があったが、それと別のバックドアが存在することが分かった』のだけど、それと同様のバックドアが、Simeji ブランドで出した Simejiプライバシーロック(DU Apps Studio という 百度の海外向け開発チームが作ったアプリのローカライズ版)に含まれてたってことだと思っているので 『MoPlus ではないけど別の脆弱性』って説明には疑問が残り、それが本当なら、悪意のある実装を後からやったと取られても仕方ない気がする。

  • by nemui4 (20313) on 2015年11月17日 16時00分 (#2918964) 日記

    ☓・・・「Simejiプライバシーロック」にMoplusとは別の脆弱性が発見された
    ○・・・「Simejiプライバシーロック」にMoplusとは別のバックドアを仕掛けていたのがバレた

    ☓Baidu側は「バイナリ内に文字列は残っているが、MoPlus自体は使っていない」
    ○Baidu側は「バイナリ内に文字列を残しているのは、MoPlusに目を向けさすためだ」

    ☓それでも脆弱性は残っていたとのことで、公開停止の決定に至ったようだ。
    ○それでもバックドアを見つけられたので、公開停止の決定に至ったようだ。

    • by Anonymous Coward on 2015年11月17日 18時56分 (#2919067)

      邪推自体を皮肉ってるように見えますよ。
      nemui4のことだから根拠のないこと書くのを我慢できなかった、でも邪推とは言われたくないので先に言っておいたのだと思うけど。

      親コメント
    • by Anonymous Coward

      いやこれ邪推じゃなくてあってるんじゃないか。
      バイドゥの行いはそうとしか思えないよ。

      • by nemui4 (20313) on 2015年11月17日 23時07分 (#2919189) 日記

        あら、でも荒らしでマイナスモデされてますね。
        ということは正論だったのか。

        親コメント
        • by Anonymous Coward

          どう取っても不快感を煽るコメントなんだもの、仕方ないね。

  • by Anonymous Coward on 2015年11月17日 17時02分 (#2918994)

    バイドゥ株式会社がアンドロイド用日本語入力システム『Simeji(シメジ)』の事業を取得 [baidu.jp]

    今のこの有り様が、あの時思い描いた将来像だったの? 足立さん?

    • Re:あれから4年 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2015年11月17日 17時09分 (#2919001)

      そうじゃないですかね。
      百度に関しちゃ既にあの時点でも悪さが一杯表面化してたんですから。

      その上で売り渡して入社するって事は、悪さをやる前提でしょう。

      親コメント
    • by Anonymous Coward

      理想じゃおまんま食えないからね

      • by Anonymous Coward

        まぁ、売ったのがプロダクトじゃなくて、信用だってことですかね。
        この開発者のプロダクトは信用できない。

        • by Anonymous Coward

          信用ある人から買えば、買い手を信頼するの?
          そりゃ、思考停止以外の何者でもないだろ、と思うんだけど。

          でも、思考停止してる人はいるだろうし、仕方ないか。

          • by Anonymous Coward

            いえ、一回裏切った、失敗した人間は信用しないという事です。

  • by Anonymous Coward on 2015年11月17日 17時26分 (#2919007)

    >>同社が提供する人気のIME「Simeji」

    「人気の」?

    • by Anonymous Coward

      OpenWnnにマルウェアを足したIMEかな

      こんなメーカーがプライバシーロックのアプリを作ってたとは

      • by Anonymous Coward

        次はF-Secureあたり買収しそうな予感。
        セキュリティソフトならやりたい放題だよね。

        • by Anonymous Coward

          日本エフセキュア社とF-secure社の区別がつかない馬鹿が多過ぎる。
          馬鹿が考えることは理解できんが、まさかF-secureが日本の製品だとでも思ってるんだろうか。

          • by Anonymous Coward

            すみませんが、一体何の話をされてるんですか?
            なんでいきなり日本がどうのとか言ってるのやら??
             
            中国Baiduと日本Baiduは区別しろという主張? でもどっちも怪しいってストーリーですよね、これ。

          • by Anonymous Coward

            本社もお咎め無しで済ましてるのか手綱握れてないのかだから、
            本社も同類であるとかローカライズで仕込みされるとか、幾らでも。

    • by Anonymous Coward

      一般の人はSimejiの危険性とか全然知らないから、知名度のある分、平気で使ってるよ。
      iOSのAppStoreでも28000もレビューついてる。おめでたい人たち。

      あ、でも1行コメントが多いし、コメント買ってる可能性高いな。

      • by Anonymous Coward on 2015年11月18日 0時59分 (#2919236)

        会社でGOM Playerと共に、名指しでウイルス扱いされているので
        大手企業の間ではインストール禁止の悪名高いソフトとなっていると思われます。

        親コメント
      • 未だBaiduが買収する前に当時のスマホ(IS11CA)で使ってみてましたが、このスマホがハードウェア的に貧困過ぎたり色々問題を抱えていたので、すぐに固まったりして使いモノにならないから放置してたんですよね。
        元々ATOKついていたし。

        で、新しいスマホを買ったら、Wnn系の「使い勝手の良くない」UIのしかなかったのでIMEを導入する必要が出たのですが、この時点ではBaidu社自体の製品に対するスパイウェアの噂が出ていたので、Simejiもなんか仕込まれてるろうな…と思ったら(;´Д`)

        結局、月額制のATOKにしましたとさ。

        親コメント
      • by nemui4 (20313) on 2015年11月17日 23時10分 (#2919190) 日記

        >あ、でも1行コメントが多いし、コメント買ってる可能性高いな。

        そらあの国ですから、おして知るべし

        親コメント
      • by Anonymous Coward

        ソーシャルIMEがsimejiじゃないと使えないと勘違いしてる人多いからね
        Wnnで充分なのに。

    • by Anonymous Coward

      買収前はよくお勧めアプリ一覧とかに載ってたけどなあ

      • by Anonymous Coward

        当時はまだAndroid機における「標準搭載IMEの」精度や機能が満足できる水準になかったから「無料で使えるIME」としては人気あったのだろうけど(もちろん他にも中華端末を使用したいユーザーにとっても必須だった)、今ではまともな国産端末にはそれなりのIMEがついてるし、わざわざ入れ替えよう、他のIMEを使おうという(スラド見てるような層の方ではない)「一般の人」が果たしてどれだけいるのか。
        買収の有無にかかわらず、標準でないIMEは「こだわる人」以外には用のないものになりつつあるのだと思います。ATOKくらいの知名度があれば別ですが。

  • by Anonymous Coward on 2015年11月17日 19時32分 (#2919083)

    moplusの元になったライブラリを含んでる。
    だからmoplusじゃないと。

    • by Anonymous Coward

      名前だけで判断するのも恐ろしいよな。全てのソースコードの固有名詞を置き換えるなんて簡単にできるんだから、問題ないとされているソフトにも実は使ってるやつがあるかもしれないってことなので……

  • by Anonymous Coward on 2015年11月18日 1時44分 (#2919242)

    兄貴「やっぱりな」

  • by Anonymous Coward on 2015年11月18日 22時40分 (#2919870)

    最初は素で誤読した。
    内容的にも大体あってる。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...