Baidu の SDK「Moplus」にバツクドアが仕組まれてる – Simeji には使ってないと言ってるけど？

Android の脆弱性というよりも、サードパーティ(中国 Baidu 社)が出している SDK にバックドアが仕組まれているとは驚きです。

中国 Baidu 社

これでは危なくて仕方がありませんねぇ。

Android も何かしら、こういった問題をチェックした後に、アプリケーションをリリースするような仕組みを作ることが早急に必要と思います。

この問題は、中国 Baidu が提供している SDK (ソフトウエア・デベロッパーズ・キット)にバックドアが仕組まれていて、これを使って構築されたアプリケーションを実行すると、それを実行した端末(スマートフォンやタブレット)上で Web サーバが実行されるようになってしまい、そこでその端末にバックドアが仕組まれ脆弱性が生まれるということなのです。

優しく説明してみたいと思いますが、なかなか難しいので、説明に過不足が有るかもしれないことをご理解ください。

まずは SDK とは、開発者がアプリケーションを作るために使用する、様々な機能が集約されているツールキットで、ここで定義された機能を駆使してアプリケーションを構築します。

次にバックドアとは、言葉の通り裏口ですから、この SDK を使って作られたアプリケーションには、Baidu が予め SDK の中に用意した、Web サーバを実行する機能と、一度そのアプリケーションを起動すれば、次回以降はシステム起動時にこの Web サーバが実行されるように登録されてしまうので、この SDK を使っているアプリを起動したら最後、以降は常に脆弱性にさらされることになるのです。

SDK を使う利点は、SDK で予め定義された動作を呼び出すだけでアプリが構築できるので、アプリを作る労力も下げることができるし、時間的にも有利(生産性が向上する)になるため、よく用いられる方法です。

アプリケーションの開発者は何も知らず、Baidu の SDK を使ってアプリを構築すると、Baidu の思いの通り、アプリの作成者は意図していないのですが、Web サーバを起動 / 登録するようなアプリを作成してしまうことになります。

Baidu というと、もしかしたらまだ使っている人もいるかもしれませんが、Simeji という日本語入力のアプリが有名ですが、これの提供元の Baidu の日本法人は、中国 Baidu が提供している SDK は、Simeji には使われていないと言っています。

しかし、Simeji は、以前に Simeji で入力した文字列データを Baidu のサーバに送信するという機能が含まれていて、あろうことかこのアプリを自治体が使用していたりもしたものですから、大きな問題となっていました。

この問題は、意図して Baidu が行ったことなので、それはそうだと思うのですがこの事実を Baidu は認めており、2015年10月30日に公開された Baidu の SDK からは、これらの問題は排除されていると、言っています。

従って、10月30日以前にビルドされた Baidu の SDK を使ったアプリは、バックドアの開いてしまうという脆弱性を抱えているということになりますので、注意が必要です。

問題の Baidu の SDK は、Moplus という名前がつけられたものです。

これをつかったアプリが危険であるということです。

ただ、SDK の名前がわかっただけでは、普通の人はアプリの中で何が使われているかわかりませんから、意味がありませんね。

Web サーバ (HTTP サーバ)が自分の端末で実行されると、悪意を持ったアクセスがその端末に有った際に、Web サーバを介してファイルを盗まれたり、その悪意のとおりに自在に端末を操ることが出来てしまいます。

現実的にどう注意すればよいのかというと、ナカナカ難しいところもあるのですが、中国産のアプリは使わない、というぐらいしか出来ませんが、これが最大の安全策なのかもしれません。

普通はこんなことしないと思うんだけどな。

沢山の報道がされていますが、この影響を受ける Android ユーザーは世界で1億人とも言われています。

もしかしたら、中国の各社が出しているスマートフォンを使う事自体にも問題が有るのではなどという懸念も生まれてきてしまいます。

自己防衛するしか無いので、よく考えましょう。

冒頭にも述べたように Android にもこういった危険性を持ったアプリケーションを排除する仕組みが必要だと強く思います。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。