Androidユーザーは中国Baiduのアプリに注意。Baiduの開発キットにバックドアを開ける機能があり、遠隔操作される恐れ

　11月6日のトレンドマイクロ発表で、中国Baiduが開発・公開したAndroid用アプリ開発キットに、バックドア機能が仕掛けられていたことがわかり、ネットで話題になっています。

　当初は脆弱性として中国の脆弱性報告プラットホーム「WooYun.og」に報告されたのですが、トレンドマイクロが調査した結果、脆弱性というよりも意図的に組み込まれた“機能”である疑いが強まりました。トレンドマイクロは「深刻な不具合」「悪質」という言葉を使って説明しています。

「Moplus SDK」を利用して、端末にユーザに気付かれずに自身をインストールする不正プログラム

　トレンドマイクロの調査によれば、問題の開発キット「Moplus SDK」を組み込んだアプリは、計1万4,112も存在するとのこと。うち4,014はBaiduの公式アプリです。

　バックドア機能を利用すると、スマホを遠隔操作できるほか、任意のアプリをユーザーが気が付かないうちにダウンロードさせるなどが可能とのこと。遠隔操作が可能になるため、情報の無断送信なども当然可能ということになります。

アプリ開発キット「Moplus SDK」を組み込んだアプリにより、不正なサービス「bdservice_v1」がバックグラウンドで常時動作している様子

携帯端末に勝手に連絡先が追加されていく様子

　Baiduでは10月30日から対処を開始したとのことですが、トレンドマイクロは「Baidu Map」を確認し、10月30日版の修正では不正な機能のうち削除されたのは半分以下で、依然として危険な状態にあると警告しています。

　Baiduが不正な機能を組み込んだのはこれがはじめてではなく、2013年には、Windows向け日本語入力システム「Baidu IME」と、Android向け日本語入力アプリ「Simeji」が、クラウド入力がオフの状態でも入力情報をサーバーに送信していることが判明。内閣官房情報セキュリティセンター（NISC）が中央省庁に対して注意喚起を行いました。

　この時も、クラウド上のサーバーと連携して変換を行う「クラウド入力」をオフにしている状態でも、入力情報をサーバーに送信していたことから、「悪質」と話題になりました。

　ユーザー側ではどのアプリが開発キット「Moplus SDK」を利用しているか確認するのは困難ですが、Baiduのアプリで利用されていることがわかっているので、安全が第三者に検証されるまでは、Baiduのアプリを利用しているなら削除しておくことをお勧めします。

　なお、Baidu日本法人は「Shimeji」では問題のSDKを使っていないと発表しています。信じるかどうかはユーザー次第ということになりますが、Shimejiには上述の“前科”があるだけに、利用は第三者の検証で安全性が保証されるまで待つ方が無難かもしれません。

　また、トレンドマイクロのモバイル端末向け総合セキュリティ製品「Trend Micro Mobile Security」では今回のバックドア機能に対処済みとのこと。問題の機能を含むアプリのインストールを防げるとのことなので、心配な人は、有料ではありますが「Trend Micro Mobile Security」を導入しておけば安心できそうです。