ニュース
» 2015年11月09日 21時42分 UPDATE

バイドゥのSDKにバックドア機能――バイドゥは「修正を完了した」とコメント

バイドゥのAndroid用SDK「Moplus」に、ユーザーの許可なしに連絡先の追加や偽のSMS送信などを行うバックドア機能が実装されていたことが、トレンドマイクロの調査で判明した。

[田中聡,ITmedia]

 中国バイドゥのAndroid用SDK(ソフトウェア開発キット)「Moplus」に、バックドア機能が実装されているという調査リポートを、トレンドマイクロが11月6日に発表した。

 バックドアとは「裏口」「勝手口」を意味する言葉で、セキュリティ対策を回避し、ユーザーの許可なしに遠隔操作を可能にする機能のこと。Moplusのバックドアにより、Android端末をインターネットに接続するだけで、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス(SMS)送信」「リモートサーバへのローカルファイルのアップロード」「アプリをAndroid端末にインストール」を実行される恐れがあるという。

 トレンドマイクロの調査によると、Moplus SDKは多くのアプリに使われており、1億人のAndroidユーザーが影響を受けた恐れがあるという。また不正プログラムが既にMoplus SDKを利用していることも判明したとのこと。同社が、Android 6.0を搭載した「Nexus 6」で、Moplus SDKを取り入れた「Baidu Map」を起動したところ、不正なサービス「bdservice_v1」が常時バックグラウンドで動作し、端末に連絡先が追加されていく様子が確認できたという。

photophoto トレンドマイクロが確認した、Moplus SDKを利用したアプリ(写真=左)。「Nexus 6」に連絡先が勝手に追加されている様子(写真=右)

 本件についてバイドゥジャパンがコメントを発表。Android向け「Simeji」アプリにはMoplus SDKは使用していないという。またバイドゥ本社が、10月30日にMoplus SDKの脆弱(ぜいじゃく)性について対応し、修正が完了したこともあわせて発表。更新したアプリはGoogle Playに提出しており、承認も得ているとしている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.