新着Pick

中国バイドゥがAndroidにバラまいた猛毒

東洋経済オンライン
中国のバイドゥ(百度)が提供するAndroid用アプリに重大なセキュリティ上の問題が発覚した。
476Picks
Pick に失敗しました

人気 Picker
(最終追記)
Google叩きでもiOS派でもありませんが(^_^;)
AndroidM、手持ちの環境でPermissionを叩いてみました。まだ正式にPermissionを変更したアプリでない検証、という前提ですが、権限は変わってそう。なのでiOSと違いいったん入られたら全抜き、ではなさそう。
どう取られてもいいですが、Google派でもiOS派でもないのは過去ログにて。
https://newspicks.com/news/1196259
Baiduが悪なのは同意。

以下、文字制限のため、またオリジナルを省略させてもらいます。
(追記2)
ようやく、ゆっくり読むことができましたので、紐解けました。
対象アプリをインストールするとマニフェストにMoplus SDKが宣言されており、Webサーバが端末内に作られる。
そのポート経由でコマンドが打てるため、アプリでコマンド操作が可能に。コマンドは主なもので
・アプリリストの取得・位置情報の取得・他アプリへ情報の引き渡し など。

root権限を取得している端末では、アプリ(APK)のインストールが可能になる。

「なんでこんなSDKが?」という感じですが、マニフェストに「宣言」してあるだけなので見逃してたのかな?ですね。

そして権限の件は多くの有識者の方がコメントされているようiOSだとアプリ入った時点でフリーですね、確かに。AndroidMで仕様がどのように変わったか、ユーザー側Notificationは変更になったので、AndroidMは危険度が高い可能性も?時間があったら調べてみますが、、、興味のレベルですね。
ちゃんとした企業ではちゃんとした開発環境なりで開発しているので、無駄に危険をあおってもいけません。これは「悪意」と捉えましょう。

以下、1000文字制限で削りました。
---------------------------------
Androidのアプリ起動と同時にブラウザーが一瞬立ち上がるのは、何でも出来てしまうな、と。
iOSは許諾なしではブラウザーが立ち上がる事はありませんが。

(追記)
みなさま、ご指摘ありがとうございます。記事を読み間違えていました。
「Webサーバ」ですか。。マズイですね。Webサーバが立ち上がっていると自由に外部からファイルのアプライが可能、となると自由度が高い。
なんと恐ろしい。
実際にAppleにiOSアプリを申請すると、神経質なほどアプリの中身やSDKになんの意図があるのか、ユーザーの利便性は何か?などが英語で送られてくる。
デベロッパとしては迷惑なことこの上ないが、それによりクオリティが担保されていると考えれば我慢するほかない。
AndroidのGoogleplayはサクッと通ってしまうw
これは、大大問題だ。バイドゥ製作でグーグルでばら撒かれたアプリ作成を容易にする部品集「Moplus」に、バックドアを生成し遠隔操作されうる機能が備わっているのだと言う。既に1万4千以上のアプリが作成され、そのアプリのユーザーも遠隔操作される可能性がある、と。つまり、1万4千人のユーザーではなくて、そのユーザーである何十万人・何百万人以上のアンドロイド・ユーザーは、遠隔操作操作される可能性があると言うのだ。

昨日まで開催されていた日本政府主催のサイバーセキュリティの会合でも、このリスクが話題になっていた。テスラに、アンドロイドを使ってコネクトすると、そのアプリを通して、テスラに侵入経路を組み入れることも可能かもしれない。そうなったら(この機能ではそこまでいかないかもしれないが)、テスラが、運転主の意思から離れ、武器化し暴走することもありうる。

それらのリスクを生み出す可能性があるアプリを、あのバイドゥが、意図的に作成し、ばら撒いていたのだ。グーグルの管理体制も問題になるだろう。これは、大きな問題となる可能性がある。
simejiに続きまたかという感じですが、SDKにバックドアを仕掛けるのはかなり悪質です。
Googleは脆弱なAndroidアプリケーションプラットフォームをなんとかしないと、、、

トレンドマイクロの詳細な調査報告はこちら。よく見つけた。
http://blog.trendmicro.co.jp/archives/12540

Baiduからは以下のような回答。
「Baiduは、2015年10月30日からこの脆弱性について対処しているとのこと、また、更新したアプリをすでにGoogle Playに提出しており、保留中であるものを除いていくつかはすでに承認を得ている」
Baiduのアプリはそうだろうけど、このSDKを使って開発されたアプリは関知しないのかな。
何度か紹介してるスピリッツ連載中のホワイトハッカー漫画「王様のヴァイキング」では、中国製のICチップに仕組まれた「バックドア」から侵入し、軍事用にミサイルを積んだドローンを乗っとる、という話でした。技術的にどのくらい可能性がある話なのかは分かりませんが、同じような話が現実にも起こっていて驚きました
本当にサイバー「戦争」ですね
Androidアプリに限らずPCへインストールされたりするものも百度のものは絶対に入れない。
70歳になる親の実家に行くときは必ずPCの中身見て変なの入っていないかチェックしますが見事百度のツールバーが入っていて速攻削除した。
「また百度か」というのが率直な感想。

日本人の皆様は「百度」「バイドゥ」「しめじ」「shimeji」というキーワードからは距離を置きましょう。、
今年6月、Baidu本社でスマホと車載器のコネクティビティに関して取材した。
CarLifeという。
中国ではGooglesのサービスが事実上使えないため、Android Autoが使えないからだ。
よって、こうしたスマホの問題、車載器に直結する。
まだまだ課題が多い領域だが、中国側がどこまで正確に情報公開していくのか、当然、疑問がある。
自由なだけにAndroidが少し脅威に感じます。自由な開発はアンドロイドの良さでもありますが、諸刃の剣になりかねない。
「特定機能を実現する上での設計ミスなどに起因した脆弱性ではなく、Moplus自身の機能としてワームホールを作る機能が提供されていたようである。」

これはGoogle戦略自体に大きな影響を与える。Developer Kit自体は、Googleの審査を受けていないのだろうか?
百度(バイドゥ、)とは、中華人民共和国で最大の検索エンジンを提供する企業である。創業は2000年1月で本社は北京市にあり、その他「百度百科」、「百度入力方法」なども提供している。 ウィキペディア
時価総額
4.61 兆円

業績