脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ

中国の検索エンジン「百度（Baidu）」のソフトウェア開発キット（Software Develoment Kit、SDK）「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが

[adeu_w]

コレを脆弱性と呼ぶのはおかしいと思う。普通にバックドアでしょ。中国製はアレコレいろんな手段を使ってバックドアを仕掛けてくるよね。

[yojik]

脆弱性じゃなくてSDKに意図的に仕組んだバックドアかー。 って百度はEvilすぎるでしょ。。

[Hiro0138]

ココの関係でスパイウェアが入ってるのはもはやデフォだな

[nezuku]

脆弱性って穏便に表現しているようで、実際のところはばれたので消しました的なバックドアだよね

[fukken]

Baiduくらいの規模の企業で、会社組織としてこういう事ができる会社文化というか風土というか、想像も付かない。取締役会とかで「では、バックドアを仕込んでいきましょう」みたいな議決が為されてるの？

[rgfx]

べんりライブラリとかでなくSDK作ってまでバックドア仕込むのか…たまげたなあ。発覚が遅れたら日本でも「Moplus SDKで参入するAndroidネイティブアプリビジネス」なんて有償セミナーが開かれてたのでは。。

[Cujo]

そういえばシメジって今どうなってるんだろうね？

[nicht-sein]

とりあえずbaidu関連のソフトは使わない、やっぱり中国は、っていう反応になるよなぁ。cocos2d-xは大丈夫なんだろうか？(汗)

[twisted0517]

脆弱性なんて生易しいもんじゃない明白な害意丸出しのバックドア / 「Moplus SDK を組み込んだアプリは、バージョン違いや異なるSHA1のものなどあわせて14,112存在します」だからAndroidは怖い

[sho]

Googleは何をのんびりしてるんだ?

[ya--mada]

百度のアレ

[AmaiSaeta]

それでも脆弱性と言い張るBaiduさん流石ですねー(棒)

[gnufrfr]

脆弱性じゃなくて仕込みかよ…

[k-holy]

またBaiduか。次の大戦の準備でもしてるんじゃないの？

[hietaro]

「脆弱性に由来または関連しているわけではない」「調査詳細によって、Moplus SDK がバックドア型不正プログラムであるという見方が確信に」「これは深刻な不具合であり、おそらく脆弱性「Stagefright」よりも悪質」

[sometk]

今後もやはり疑っても問題なさそう。

[ustar]

なんとも

[shukaido170]

こういう事するから、「スマホにもFirewallソフトが必要」とかなって、また動作が遅くなるんだよな

[gui1]

アンインストール　→　私の良くないところを指摘してくださいうあﾞぁあ ･ﾟ･(´Д⊂ヽ･ﾟ･ あﾞぁあぁﾞああぁぁうあﾞぁあﾞぁぁうあﾞぁあ ･ﾟ･ あﾞぁあぁﾞああぁぁうあﾞぁ

[momontyo]

えぐいな。Googleも素直に脆弱性として受け取ったらあほだよ。

[trevegan]

コレを脆弱性と呼ぶのはおかしいと思う。普通にバックドアでしょ。

[raimon49]

＞Moplus SDK によって設定された ローカル HTTPサーバでは識別認証が行われないため、アプリ開発者のみならず、誰でも攻撃を開始することが可能になります。

[napsucks]

意図的なバックドアであることは間違いないが、プロセス隠蔽等は行ってなさそうだし、悪意を持って入れたかどうかは不明だな・・・。中華だし、実際のところなんも考えてないんじゃないかと。

[kirte]

これすごいな 完全にバックドアだ

[kinbricksnow]

バイドゥのアプリ開発キットにバックドアが仕掛けられていたとのこと。百度地図、百度ビデオ、鳳凰ビデオなど1万4000ものアプリに脆弱性を確認

[rryu]

普通にバックドアが実装されていてアレだった。

[warp9]

故意でも脆弱性って言うのか？→【Baiduから弊社への回答によれば、Baiduは、2015年10月30日からこの脆弱性について対処しているとのこと】

[bzb05445]

中国企業って、ヘイトというかカルマが溜まることにたいして何とも思ってないフシがあるよな。人口ものすごく多いし、そのぶん情弱も多いから痛くも痒くも無いのかな。人としてどうなの？とか思っちゃう。

[zyusou]

酷すぎて逆に笑えてくる

[hevohevo]

このSDK使って作ったアプリを動かすと、誰でもどんな操作でも可能な裏口が開くとか・・・。共産党の指示かもしれないがさすがにBaiduさん杜撰すぎるでしょ。もしかして指示に対するせめてもの抵抗とか（逆張り！）

[upinetree]

想像以上にヤバかった

[key_amb]

こわ。

[progrhyme]

こわ。

[ntaoo]

無茶苦茶だ

[Bookmarker]

中国ではバックドアが義務だとしても、認証も無いのは相当悪質。Google PlayからBaidu製品を削除、一定期間締め出すべき。

[quabbin]

あれ。これ、どうやってFW開けるんだろう? 確認してるポート番号をヒントにすれば、一つだけ方法は思いつくけど、3G網でも可能なのかな。実験してみないとわからない。むぅ

[lcwin]

アカン

[quick_past]

うひょおーーー！！！(;´Д`)

[c_shiika]

最初に発見されたのは中国国内なんだ…