中国バイドゥのAndroid用SDKに外部操作可能なバックドア、約1億人に影響
トレンドマイクロは2015年11月6日、中国バイドゥ(百度、Baidu)が提供するAndroid用SDK(ソフトウエア開発キット)の「Moplus」に深刻なセキュリティ上の欠陥が確認されたとして、注意喚起する文書を出した。 Moplus SDKを利用して開発されたアプリを通じて、Android端末で特別なユーザー権限なしに「連絡先の追加」「偽メールの送信」「アプリのインストール」などを実行される恐れがあるという。約1億人のAndroidユーザーが影響を受けたとみられる。 トレンドマイクロは、「脆弱性について調査を進めたところ、Moplus SDK自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになった」と説明している。バイドゥがMoplusに実装したのは、開発過程における不具合による「脆弱性」(欠陥)ではなく、意図的に外部操作を可能と
脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ
Rapid7の研究者によると、GoogleはAndroid 4.3(Jelly Bean)までのバージョンについて、WebViewの脆弱性修正パッチの提供を打ち切った。 世界でまだ9億台あまりの端末に搭載されている旧バージョンのAndroidについて、米Googleが脆弱性を修正するパッチの提供を打ち切っていたことが分かったという。脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。 それによると、Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
