中国バイドゥのAndroid用SDK(ソフトウェア開発キット)「Moplus」に、バックドア機能が実装されているという調査リポートを、トレンドマイクロが11月6日に発表した。
バックドアとは「裏口」「勝手口」を意味する言葉で、セキュリティ対策を回避し、ユーザーの許可なしに遠隔操作を可能にする機能のこと。Moplusのバックドアにより、Android端末をインターネットに接続するだけで、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス(SMS)送信」「リモートサーバへのローカルファイルのアップロード」「アプリをAndroid端末にインストール」を実行される恐れがあるという。
トレンドマイクロの調査によると、Moplus SDKは多くのアプリに使われており、1億人のAndroidユーザーが影響を受けた恐れがあるという。また不正プログラムが既にMoplus SDKを利用していることも判明したとのこと。同社が、Android 6.0を搭載した「Nexus 6」で、Moplus SDKを取り入れた「Baidu Map」を起動したところ、不正なサービス「bdservice_v1」が常時バックグラウンドで動作し、端末に連絡先が追加されていく様子が確認できたという。
本件についてバイドゥジャパンがコメントを発表。Android向け「Simeji」アプリにはMoplus SDKは使用していないという。またバイドゥ本社が、10月30日にMoplus SDKの脆弱(ぜいじゃく)性について対応し、修正が完了したこともあわせて発表。更新したアプリはGoogle Playに提出しており、承認も得ているとしている。
Copyright © ITmedia, Inc. All Rights Reserved.