--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2015.11.09 19:23|カテゴリ:Security

バイドゥが脆弱性と言い張る悪質なバックドア組み込み開発環境「Moplus」について


 すでに各所で話題となっているバイドゥが提供する開発環境「Moplus」のバックドア実装ですが、バイドゥは脆弱性だとしています。
 

しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れがあります。
脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ




弊社はこのセキュリティ問題について既に Google 及び Baidu に報告済みです。Baiduから弊社への回答によれば、Baiduは、2015年10月30日からこの脆弱性について対処しているとのこと、また、更新したアプリをすでにGoogle Playに提出しており、保留中であるものを除いていくつかはすでに承認を得ている、とのことです。Baiduは、感染したアプリの次期バージョンリリースの際、問題のデッドコードについて削除する予定です。
脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ

 


 言うまでもなく、「脆弱性」とはソフトウェアのバグ(不具合)の一種でセキュリティ上の欠陥を指します。「脆弱性」は意図的に作りこむものではなく、不注意や未熟さから生まれてしまうものです。今回の「Moplus」のように、バイドゥが意図的に組み込んだ裏口、つまり「バックドア」は決して「脆弱性」ではありません。

 また、デッドコードという表現が出ていますが、デッドコードというのは参照されない項目や実行中に処理に至らないコードのことであって、今回のケースで埋め込まれる悪質なコードを指す言葉としては不適当です。
 

 バイドゥは、以前も問題を起こしたSimejiには使われていないと発表しているようですが、そもそもなぜこのようなバックドアを開発環境に仕込んでいたのか意図を説明していません。
 

【当社に関する一部報道につきまして】 日頃より、日本語文字入力&顔文字キーボード「Simeji」をご利用頂きまして誠にありがとうございます。 本日(2015年11月9日)、Baidu本社(中国)が開発したSDK「Moplus」に関する報道が一部でございましたが、当社(Baidu日本法人)が日本にてみなさまに提供している「Simeji」には本SDKは使用されておりません。
Baidu Japan


 
 「脆弱性」という言葉やたまたま「現在のバージョンの」Simejiで「Moplus」が使われていないだけでごまかそうとしていますが、このような悪質な行為を行う企業が許されていいわけはありません。

 皆さんがこの件を話すとき、「脆弱性」と言ってはいけません。それは間違いであり、バイドゥによるごまかしを助長することになります。

 正しく「悪質なバックドア」と言わなければなりません。

 バイドゥのごまかしを許してはいけません。

 今後も続報がありましたらお伝えする予定です。


関連記事


Androidユーザ愕然! 百度に買収されていたSimejiが入力情報無断送信 PC向けBaidu IMEも|I believe in technology
クラウド連携型のIMEで中国百度が提供しているBaidu IMEとsimejiが入力情報を利用者に無断で送信していることがわかりました。


やっぱ信用ならねぇ 不審なアクセスをするBaiduと、すっとぼけるSimeji公式垢 クラウド変換データも送信?|I believe in technology
「みんなの顔文字辞典」や私も愛用している「緊急地震速報 by Extension」などのChrome拡張を開発していらっしゃる @mitsuaki_iさんがBaiduからの大量アクセスに対し、以下のような問い合わせをメンションで行っていました。



 
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。