トレンドマイクロは、中国Baidu(百度)が提供するAndroid用ソフトウェア開発キット(SDK)である「Moplus」に、バックドア(侵入口)が仕掛けられていることを明らかにしました。 これにより、Moplusを使って開発されたアプリには、ユーザーに無断でAndroid端末に連絡先の追加やメール送信、ファイルのアップロード、アプリのインストールなどを遠隔で実行されてしまう危険性があると指摘されており、約1億人のAndroidユーザーが影響を受けたとみられています。

MoplusはWormholeと呼ばれる脆弱性を抱えていましたが、トレンドマイクロがこの脆弱性について調査を進めたところ、不具合による脆弱性とは関連のないバックドア型不正プログラムがSDK自体に備わっていることがわかり、意図的に外部操作をおこなえるよう仕込まれたものであるとの見解が示されています。 これらバックドア動作の前提となる条件は、端末をインターネットに接続するだけ。Moplusによって設定されたローカルHTTPサーバでは識別認証がおこなわれないため、アプリ開発者だけでなくTCPポート番号を知っていれば、誰もが感染端末を攻撃することが可能とのこと。こうしたことからトレンドマイクロは、動画メッセージが届くだけでスマホが乗っ取られる「Stagefright」脆弱性よりも悪質と評しています。

com.qiyi.video com.baidu.video com.baidu.BaiduMap com.baidu.browser.apps com.baidu.appsearch com.nd.android.pandahome2 com.hiapk.marketpho com.baidu.hao123 com.baidu.searchbox tv.pps.mobile com.mfw.roadbook com.tuniu.app.ui com.ifeng.newvideo com.baidu.netdisk com.quanleimu.activity com.dragon.android.pandaspace com.yuedong.sport com.dongqiudi.news air.fyzb3 com.managershare

現在確認されているMoplus SDKが組み込まれたアプリは1万4112種類あり、そのうちBaiduの公式アプリが4014種です。人気上位20アプリは上記リストの通りで、たとえば「Baidu Map」では、起動時に不正サービスがバックグラウンドで動作し、遠隔操作からAndroid端末に連絡先が追加されることが確認されています。 この問題についてBaiduは、2015年10月30日からこの脆弱性について対処しており、修正を加えた更新アプリをすでにGoogle Playに提出しているとのことですが、すべての不正な機能が除去されたわけではないとも指摘されています。なお、Baidu日本法人は、同社が提供する文字入力アプリ「Simeji」にはMoplus SDKは使用されていないと表明しています。 — Simeji(日本語入力キーボード) (@Simeji_pr) 2015, 11月 9

  Baidu SDK                Android    1 4112  1         - 52