百度(Baidu)のソフトウェア開発キットにバックドア機能の搭載を確認(トレンドマイクロ)
トレンドマイクロは6日、中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(SDK)「Moplus」にバックドア機能が搭載されていることを公表した。
脆弱性と脅威
脅威動向
「Moplus」には「Wormhole」と呼ばれる深刻な脆弱性があることが確認されている。今回発見されたバックドア機能は、この脆弱性とは関係なく存在していたと見られる。このバックドア機能を使うことで、ユーザー権限なしに、ソケットを通過するメッセージを監視し続ける。
これにより、端末に対しHTTPリクエストを送信するだけで、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス(SMS)送信」「ローカルファイルのアップロード」「アプリインストール」などが可能になるという。
Moplus SDKは多くのAndroidアプリに取り入れられており、1億人程度が影響を受ける見込み。またすでに不正プログラムが、Moplus SDKを利用している事例も発見されている。
トレンドマイクロによれば、Moplus SDKが組み込まれたアプリは、計14,112種(バージョン違いや異なるSHA1のものなどを含む)。そのうち4,014が、「com.baidu.browser.apps」「com.baidu.hao123」などのBaidu公式アプリとのこと。Baiduは、この問題について対処を進めているという。
中国Baiduのソフト開発キット、バックドア機能の搭載が判明
《冨岡晶@RBB TODAY》
関連記事
-
TrueCrypt の監査が見落とした、神モードのセキュリティホールがここに~人気の暗号化ソフトに特権昇格の脆弱性(The Register)
国際 -
オバマが暗号化の全面支持へと歩み寄る──だが彼は、その意味をわかっているのか?~「ノー・バックドア」を語る漏洩メモは、暗号の基本を把握していない(その 2)(The Register)
国際 -
Scan名誉編集長 りく君の セキュリティにゃークサイド「SimejiとBaidu IMEが入力内容を無断で送信していたんだにゃーの巻」(12月30日版)
特集 -
「Simeji」のログデータ送信は「バグ」--バイドゥが見解を発表(バイドゥ)
製品・サービス・業界動向
この記事の写真
/
関連リンク
特集
アクセスランキング
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止
-
豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし
-
東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出
-
![北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/44783.jpg)
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
-
サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
-
新日本プロレスリングオフィシャルファンクラブ会員情報を保存した USB メモリ紛失