baidu

あぶないAndroid。中国の大手検索エンジン会社「百度」が提供する「Moplus」にはデフォでバックドア作成機能が存在

中国の大手検索エンジン会社「百度」が提供する「Moplus SDK」という開発環境には悪意あるコードが存在し、その開発環境を使って作られたアンドロイドのソフトは全部汚染されているという。
この悪意あるコードの機能は「バックドア」と呼ばれる他人の端末を持ち主に無断で遠隔操作するタイプのものです。あなたがスマホで撮影した写真やスマホに入力した文字列などを、遠隔操作であなたに全く無断でGetできるわけです。

さて、この悪意あるコードは一体どこから来たのだろう? どうやら、ミスとかそういったものじゃなくて、明らかに計画的に付与されたコードのようです。
百度IMEという前科があるので組織的犯行の可能性も考えられますし、開発者レベルで挿入された可能性もあるでしょう。

百度は、このSDKをバージョンアップして悪意あるコードを消したから問題ないと開き直るのではなく、何故、こんなコードが挿入されているのか、しっかりとしたエビデンスに基づいた説明をするべきだと思います。
そうでなければ、組織ぐるみと見られても仕方がないでしょう。フォルクスワーゲンと同じです。

そして、今までに漏洩したデータがどうなったのか、百度が責任をもって徹底的に調査をするべきなのではとも思うわけです。当然賠償もするべきでしょう。ナスダックに上場しているわけだし、徹底的に真相を調査するためにアメリカで大きな訴訟になってほしいところです。

それにしても、これほど大きな中国ネット企業が堂々と開発環境にバックドアを仕組んでいた可能性があるわけで、他の中国アプリも推して知るべしと言ったところでしょう。

アプリにバックドアがあるという話は、中国では何度もなされておりました。3Q対戦と言われる中国大手企業同士の戦いもそういった話だったと思います。

しかし、今回は開発環境であり、それを用いて開発したアプリがすべて汚染されるというもので、中国企業はここまでやるかというのが正直な感想です。

最近は日本語が表示可能な中華性アプリも増えているので、どれが中華製なのか、一般の人にはわかりにくい状況にあると思います。
不必要なアプリは入れないとか、消すといった程度の対策では、これらの脅威を回避することはほぼ不可能でしょう。

現在の中国企業はお金もあるから、ブースト等、様々なプロモーション手法を行って、人気アプリランクの上位に表示させることも可能で、上位にあるよく見るアプリが中国製というのも極めて普通の状況にあるわけです。

Googleは、百度が正確な調査報告を提出するまで、百度を含む中国企業のアプリをGooglePlayから全部追放するべきなのだと思います。
少なくても、このような問題が起こった場合、GooglePlayが使われている中国外への問題の拡散を、完全ではないにせよ、かなり食い止められるでしょうから。
※中国では、規制もありGooglePlayがあまり利用されていない。

今回の問題は、たしかに百度の問題ではありますが、同時にAndroid主導するGoogleの問題でもあるわけです。
バージョンアップして問題部分を消したから問題解決ではなく、Androidが安全なスマホなのか否かが、今問われている状況にあることをGoogleは認識するべきなのではないでしょうか。

アプリマーケティング的なランキング操作の問題より、バックドア機能のほうが遥かに悪質だと思うのですが、何故まだ百度のアプリ(百度地図など)すら、全く削除されずにGooglePlayに存在するのでしょうか? 11月10日現在。上の図の通り。

日本政府も中華アプリの日本での公開中止をGoogleに要請するべきでしょう。
こんなものを放置していたら、マイナンバーなんかもバリバリ漏洩しちゃいます。

ちなみに、マイナンバー通知表の写真を携帯で撮ったり、携帯に入力しないほうがいいでしょう。
携帯をPCへつなぐ(USB接続)のもヤバいかもです。
なんかめんどくさいですね。

以前から中華アプリを無暗に入れない方がいいと言っておりますが、最近は見分けるのが難しいので、今回は元(GooglePlay)から絶たなきゃダメという話でした。

http://blog.trendmicro.co.jp/archives/12540