Galaxy Lab

スマートフォン IT モバイルなどのニュースや活用情報

ニュース

[News]androidアプリにバックドア問題の百度と読売新聞とトレンドマイクロの言い分が違ってる件:本日付の読売新聞社会面の誤報道について | バイドゥ株式会社

本日(2016年1月15日)付の読売新聞社会面に、「アプリ 無断で情報送信」と題する記事が掲載されていることを確認いたしました。

本記事には以下の通り事実と異なる内容、読者の誤解を招く内容が記載されておりますため、当社からは読売新聞に対して厳重な抗議を行っております。

本日付の読売新聞社会面の誤報道について

百度から読売新聞の記事は誤報だという記事が発表されています。
いわくshimeji プライバシーロックにはMoplus SDKは使用されておらず別問題だ、バックドアなんか仕込まれない、端末が乗っ取られることもない、という物です。

どちらが正しいのかは置いておくとして、というかSimeji プライバシーロックに当該SDKが使われているかどうかは些末な問題ですし、乗っ取りは言い過ぎだろうけど否定するだけで正しい情報を出してないのはどうなのよと思ったりもするのですが、一番期になったのは以下の記述。

4.「Moplus SDK」の脆弱性の問題と「Simejiプライバシーロック」の脆弱性の問題とは異なる点について

トレンドマイクロ社が、北京の百度本社が配布する「Moplus SDK」についての問題を同社のブログ上で指摘していることは、当社も確認しております。一方「Simejiプライバシーロック」には「Moplus SDK」は使用されておらず、両者の脆弱性の問題は異なります。

しれっと脆弱性についてだけ触れていますが、実際のトレンドの記事はこちら。

しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れがあります。

フィッシングサイトへの誘導
任意の連絡先の追加
偽のショート・メッセージ・サービス(SMS)送信
リモートサーバへのローカルファイルのアップロード
アプリをAndroid端末にインストール
これらのバックドア活動を実行する前に必要な前提条件は、端末をインターネットに接続するだけです。

脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明

つまり脆弱性とは別にバックドアはあったんですよね。
そこには触れずに都合のいいことだけ書いてる内容をそのまま信じることなんか出来ないです。

信頼度はファンタの果汁程度です。

-ニュース