#Baidu の #Android 用SDK、 #Moplus SDK 、バックドアの脆弱性あり(一追) #Simeji 無関係
-
- いいね!11
(前略)トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れがあります。(後略)
本田雅一
@rokuzouhonda
BaiduのAndroid用アプリ開発キットに”バックドアを超簡単実装する機能”が存在。フィッシング誘導、連絡先追加、偽SMS発信、ファイルアップロード、任意アプリの端末へのインストールをユーザー許可なしで行えるとか blog.trendmicro.co.jp/archives/12540…
2015-11-08 12:57:15
本田雅一
@rokuzouhonda
今回のBaiduの仕掛けは以前のIMEの時とは比較にならん。明らかに組織だってやってる。彼らのアプリ、サービスを避けるのは簡単だけど、SDKでバラ撒かれてると、その影響は計り知れない。Moplusはたくさん使われてるので、Android端末全体への信頼にも影響しそうだ
2015-11-08 13:03:57
本田雅一
@rokuzouhonda
バイドゥ製キットのバックドア問題。グーグルはどう対処するのだろう?グーグルは使用するライブラリをアプリ登録DBで管理してはいないよね?となるとMoplus使用アプリが多数あるなかで、Google Playで流通するアプリの健全性をどう担保していくんだろう。それとも放置プレイ?
2015-11-08 13:13:41
本田雅一
@rokuzouhonda
いずれにしろ、Googleは今回のBaidu製SDKの件で、プラットフォーマーとしてどう振る舞うのか。その姿勢を問われてる気がする。
2015-11-08 13:16:44
本田雅一
@rokuzouhonda
中国バイドゥがAndroidにバラまいた猛毒 グーグルのエコシステム戦略は大丈夫か | インターネット - 東洋経済オンライン toyokeizai.net/articles/-/917… Toyokeizaiより
2015-11-09 12:39:12
本田雅一
@rokuzouhonda
今回のバイドゥの記事は追いかけで書いたつもりだったのだけど、なぜか日本ではあまり報道されていなかったようでバズってる…。もう先週のニュースを元に、経済ニュースの読者層に伝える意図で書いたんだけど、意外にもスマホユーザー界隈のひとが気づいていなかったようで…
2015-11-09 13:04:09
本田雅一
@rokuzouhonda
iOSもXcode Ghostあった。あれ毒でしょ?という話もあるけど、背景を考えると今回のバイドゥ毒とは全然違うと思うが。バイドゥ毒は放置プレイが蔓延の理由、XGは通常は考えにくい隙間を偽開発ツールを使っての攻撃。あとはグーグルが事後処理をどうするか。XGの場合は一斉削除
2015-11-09 12:53:34
本田雅一
@rokuzouhonda
どうやら、この半日で俺はアップルに甘々でグーグルに偏見を持っているクソやろーという評価が一部に定着したようだ。以前はアップル嫌いと言われたりもしたけれど。好き嫌いで記事なんか書かないよ。趣味のブログじゃないんだから。あと考え方は当然、間違っていたり、その後、変わることもあるよ
2015-11-09 15:28:17
ChaMiu@micro.blog
@Chamiu_IT
XcodeGhostにも触れておけば良かったのに ^^; といっても、「企業が確信的に配布したものではないので対抗にならないよな」と思ったのでした。 @rokuzouhonda twitter.com/rokuzouhonda/s…
2015-11-09 17:53:10
本田雅一
@rokuzouhonda
テック系の記事ならもちろん触れたでしょう。それにiOSだとサービス登録できないですよね(間違いだったらスマンす) RT @ProtectedChamiu: XcodeGhostにも触れておけば良かったのに ^^;
2015-11-09 17:57:59
Akira Yahagi
@yahagi
@rokuzouhonda @ProtectedChamiu iTunes Connectへの登録もできてた。XG の問題は正規のデベロッパでも公式サイトからではなく転載サイトからダウンロードしたSDKで開発してた部分。
2015-11-09 18:08:50
本田雅一
@rokuzouhonda
@yahagi @ProtectedChamiu よく思いつくよなぁと妙に感心しましたよ。でも、わざわざアップル以外の配布するSDK使うんだなぁと
2015-11-09 18:16:24
ChaMiu@micro.blog
@Chamiu_IT
@rokuzouhonda @yahagi そこはなぜストアがApp StoreとMac App Storeのみで、なぜSDKがApple製のみなのかという思想部分を知財保護の部分でまだ理解し得ない国民性ゆえかなと。両ストアともリパッケージにしか見えない中国人製のものありますし、
2015-11-09 18:21:30
本田雅一
@rokuzouhonda
@ProtectedChamiu @yahagi いずれにしろ、一斉削除に踏み切るのかどうか。踏み切るとしてどのぐらいの時間ギャップがあるか、削除してもインストール後のアプリまで消せないですし、どうするのかグーグルの中の人は腕の見せ所かな
2015-11-09 18:32:24
Simeji
@Simeji_pr
Baidu本社が開発したSDK「 #Moplus 」に関する報道が一部ございましたが、 バイドゥ(Baidu日本法人)が提供する「 #Simeji 」については本SDKは使用しておりません。
2015-11-09 10:32:14
Simeji
@Simeji_pr
【再掲】 本日(2015年11月9日)、Baidu本社(中国)が開発したSDK「Moplus」に関する報道が一部でございましたが、当社(Baidu日本法人)が日本にてみなさまに提供している「Simeji」には本SDKは使用されておりません。
2015-11-09 15:23:34