中国のIT企業「百度(Baidu)」のソフトウェア開発ツール(SDK)の「Moplus」を利用したアプリをインストールしていると、スマホが乗っ取られる可能性があるとセキュリティソフトの開発会社「トレンドマイクロ」がセキュリティブログで公表しました。
トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/12540
経緯
当初は「Moplus」に「ワームホール(Wormhole)」と呼ばれる脆弱性(セキュリティの穴)が10月に確認されていたのですが、トレンドマイクロがその後も調査を進めていくと、「バックドア」の機能が搭載されていることが判明したそうです。
「バックドア」とはその名の通り「裏口」の意味で、バックドア機能を搭載したアプリをインストールすると、アプリの機能で自動的にスマホ端末内に裏口が作成され、本人以外の他者が端末を自由に遠隔操作出来るようになる機能です。
中国ではメジャーなソフトウェア開発ツール(SDK)らしく、この「Moplus」を搭載したアプリは14,000以上も存在し、そのうち4,000以上のアプリが百度(Baidu) の公式アプリとの事です。
下記が「Moplus」を搭載したアプリの人気TOP20です。
com.qiyi.video
com.baidu.video
com.baidu.BaiduMap
com.baidu.browser.apps
com.baidu.appsearch
com.nd.android.pandahome2
com.hiapk.marketpho
com.baidu.hao123
com.baidu.searchbox
tv.pps.mobile
com.mfw.roadbook
com.tuniu.app.ui
com.ifeng.newvideo
com.baidu.netdisk
com.quanleimu.activity
com.dragon.android.pandaspace
com.yuedong.sport
com.dongqiudi.news
air.fyzb3
com.managershare
これを見ると、ビデオやマップ、ブラウザー、検索などの主要な百度(Baidu)のアプリには全て搭載されているようですね。
尚、この「Moplus」が搭載されているアプリがインストールされているスマホ端末は、全世界で一億台以上にもなるそうです。
バックドア機能で出来ること
トレンドマイクロのブログによると、このバックドア機能で出来ることは下記になります。
・フィッシングサイトへの誘導
・任意の連絡先の追加
・偽のショート・メッセージ・サービス(SMS)送信
・リモートサーバへのローカルファイルのアップロード
・アプリをAndroid端末にインストール
ほとんど何でもできるやん!!
思わず関西弁で突っ込んでしまうくらいの、ものすごい機能です。
本当に何でも出来ますね。
しかもたちの悪いことに、「アプリをAndroid端末にインストール」する機能という事は、悪意のあるアプリを次々とインストールすることが出来るという事なので、被害は拡大する一方です。
すでに、定期的に知らないアプリがインストールされているとの報告もあります。
百度関連アプリの状況
Google Play Storeで「百度」で検索した結果です。
検索結果の1位~3位に、百度ではない会社のアプリが掲載されています・・・(百度のアプリは「Baidu inc」がリリースしています。)
試しに百度(Baidu)の公式アプリ「百度翻訳」がアクセスできる権限を確認してみると、ものすごい権限を要求しています。
最初の「機密ログデータの読み取り」の時点で怖さがMAXです。
機密ログデータって何・・・?
何をするつもりなの・・・?
「正確な位置情報」も翻訳機能には必要ないでしょうし、「メッセージ(SMS)の受信」も盗み見されているようで怖すぎます。
「SDカードのコンテンツの変更もしくは削除」は、普通のゲームアプリではよくある権限で、SDカードに保存したデータを更新するためなどに権限が必要なのですが、翻訳アプリになぜSDカードのアクセス権が必要なのか、よく分かりません。
他にも「端末のステータスとIDの読み取り」「この端末上のアカウントの使用」「システム設定の変更」「ネットワークへのフルアクセス」など、怖すぎる権限のオンパレードです。
ちなみに他のアプリ(音楽アプリ)の権限を見てみると・・・
やっぱり「機密ログデータの読み取り」は外せないみたいです。
「アカウントの追加と削除」って、追加されても削除されても困るんですけど・・・
「アカウントの作成とパスワードの設定」って何のアカウントが作られるのでしょうか・・・?
「起動時の実行」も何か勝手にデータが送られそうで怖いのです。
最後に百度(Baidu)公式アプリの一覧です。
百度は色々と多くのアプリをリリースしているのですが、これらのアプリはインストールしないでおこうと決めました。
まとめ
百度(Baidu)の日本法人は、日本語文字入力ソフトの「Simeji(シメジ)」では、「Moplus」が使用されていないと発表していますが、以前も「Simeji(シメジ)」で、入力した情報が百度(Baidu)のサーバーに勝手に送信されていたと問題になっていたので、不安になる人が多いような気がします。
しかし脆弱性が確認されて調査を続けていたらバックドア機能が見つかったなんて、例えは悪いですが「軽犯罪で拘留されていた人の捜査を進めていたら殺人事件の重要参考人だった」みたいなイモづる式の展開をイメージしました。
ちなみに、「百度翻訳」の日本語説明文がカタコトすぎて、安心して任せられないです・・・
「海外旅行に不可欠である」って、「夏目漱石か!!」って突っ込みたくなる。
最後に一言!
「Moplus」の「Mo」は「毛沢東」の「毛」ですかね?