バイドゥ(百度)社が提供する
Android用アプリのソフトウェア開発キット「Moplus」に
重大なセキュリティ上の問題が見つかったようです。
不正侵入を許すバックドア機能があるとのこと。
→ 参照:トレンドマイクロセキュリティブログ
何それ?自分には関係なさそうだ...
そう思ったあなた!
もし、Androidのスマホを使っているのなら大いに関係ありますのでご注意くださいね。
「Moplus」を使って制作されたAndroidアプリをユーザーが使うと(インターネットに接続状態で)、アプリを介して不正侵入や遠隔操作、ユーザーが気付かないあいだいデータ送信がなされる等の被害にあう恐れがあるとのこと。
・フィッシングサイトへの誘導
・任意の連絡先の追加
・偽のショート・メッセージ・サービス(SMS)送信
・リモートサーバへのローカルファイルのアップロード
・アプリをAndroid端末にインストール
これらのバックドア活動を実行する前に必要な前提条件は、端末をインターネットに接続するだけです。Moplus SDK は非常に多くの Androidアプリに取り入れられているため、1億人の Androidユーザが影響を受けたことになります。 トレンドマイクロセキュリティブログより引用抜粋
トレンドマイクロ社の調査では、このようなアプリは1万4112本確認されているとのこと。
しかし、自分がダウンロードしているアプリがそれに該当するかどうか、調べようがありませんよね。
スマートフォン向けのセキュリティ対策ソフトなどを使ってスキャンしたうえで、該当するアプリを除去するのが手っ取り早そうです。
(トレンドマイクロ社のものは本件関連の検知に対応済とのこと)
さて、ご存知の方も多いかと思いますが、
アプリストア(App Store)に並べられる前に
厳格な審査を受けるiPhoneやiPad(iOS)用アプリと違い、
Android用アプリは、比較的緩い審査でアプリストア(GooglePlay)に並べられます。
GooglePlayにアップされているアプリは約143万本(※2015年1月時点のデータ)といわれていますが、その審査の緩さから、中には、粗悪でセキュリティの穴だらけのアプリや、悪意を持って何かが仕込まれているアプリも紛れ込んでいる確率が高いのです。
そんなこと初耳...というあなた。
知らない間に被害にあっている(被害を拡げている)かもしれませんよ。
どうか、お気をつけください!