中国バイドゥがAndroidにバラまいた猛毒
コメント
注目のコメント
(最終追記)
Google叩きでもiOS派でもありませんが(^_^;)
AndroidM、手持ちの環境でPermissionを叩いてみました。まだ正式にPermissionを変更したアプリでない検証、という前提ですが、権限は変わってそう。なのでiOSと違いいったん入られたら全抜き、ではなさそう。
どう取られてもいいですが、Google派でもiOS派でもないのは過去ログにて。
https://newspicks.com/news/1196259
Baiduが悪なのは同意。
以下、文字制限のため、またオリジナルを省略させてもらいます。
(追記2)
ようやく、ゆっくり読むことができましたので、紐解けました。
対象アプリをインストールするとマニフェストにMoplus SDKが宣言されており、Webサーバが端末内に作られる。
そのポート経由でコマンドが打てるため、アプリでコマンド操作が可能に。コマンドは主なもので
・アプリリストの取得・位置情報の取得・他アプリへ情報の引き渡し など。
root権限を取得している端末では、アプリ(APK)のインストールが可能になる。
「なんでこんなSDKが?」という感じですが、マニフェストに「宣言」してあるだけなので見逃してたのかな?ですね。
そして権限の件は多くの有識者の方がコメントされているようiOSだとアプリ入った時点でフリーですね、確かに。AndroidMで仕様がどのように変わったか、ユーザー側Notificationは変更になったので、AndroidMは危険度が高い可能性も?時間があったら調べてみますが、、、興味のレベルですね。
ちゃんとした企業ではちゃんとした開発環境なりで開発しているので、無駄に危険をあおってもいけません。これは「悪意」と捉えましょう。
以下、1000文字制限で削りました。
---------------------------------
Androidのアプリ起動と同時にブラウザーが一瞬立ち上がるのは、何でも出来てしまうな、と。
iOSは許諾なしではブラウザーが立ち上がる事はありませんが。
(追記)
みなさま、ご指摘ありがとうございます。記事を読み間違えていました。
「Webサーバ」ですか。。マズイですね。Webサーバが立ち上がっていると自由に外部からファイルのアプライが可能、となると自由度が高い。なんと恐ろしい。
実際にAppleにiOSアプリを申請すると、神経質なほどアプリの中身やSDKになんの意図があるのか、ユーザーの利便性は何か?などが英語で送られてくる。
デベロッパとしては迷惑なことこの上ないが、それによりクオリティが担保されていると考えれば我慢するほかない。
AndroidのGoogleplayはサクッと通ってしまうwこれは、大大問題だ。バイドゥ製作でグーグルでばら撒かれたアプリ作成を容易にする部品集「Moplus」に、バックドアを生成し遠隔操作されうる機能が備わっているのだと言う。既に1万4千以上のアプリが作成され、そのアプリのユーザーも遠隔操作される可能性がある、と。つまり、1万4千人のユーザーではなくて、そのユーザーである何十万人・何百万人以上のアンドロイド・ユーザーは、遠隔操作操作される可能性があると言うのだ。
昨日まで開催されていた日本政府主催のサイバーセキュリティの会合でも、このリスクが話題になっていた。テスラに、アンドロイドを使ってコネクトすると、そのアプリを通して、テスラに侵入経路を組み入れることも可能かもしれない。そうなったら(この機能ではそこまでいかないかもしれないが)、テスラが、運転主の意思から離れ、武器化し暴走することもありうる。
それらのリスクを生み出す可能性があるアプリを、あのバイドゥが、意図的に作成し、ばら撒いていたのだ。グーグルの管理体制も問題になるだろう。これは、大きな問題となる可能性がある。