バイドゥが配布した開発キットにバックドアが見つかる

■ バイドゥが配布した開発キットにバックドアが見つかる

バイドゥが配布した開発キットに危険なバックドアが見つかる:ITpro : http://itpro.nikkeibp.co.jp/atcl/column/14/277462/122500042/?ST=china&P=1

記事を読めば判るが「中国のアプリ開発キットにバックドアがあった」と云うニュースだ。

二ユースでは

中国の検索大手バイドゥが配布するソフトウエア開発キット「Moplus SDK」に、不正アプリのインストールや情報漏えいを引き起こす恐れがある脆弱性があると発表した。

との記事に続いて、

WooYun.orgとシマンテックは、これらの問題について、すでにバイドゥに報告済み。バイドゥは11月4日までに、影響を受ける公式アプリを改修して置き換えている。Playストアに登録していたアプリについては、今後削除する方針だという。

よく判らないのは「実装されていた」とか「12のコマンドがあった。」とか言っている訳だけど、
「通知しました。」「はい、直しました。」で記事が終わっている点だ。

実装とか12のコマンドとかの話は、ただ事では無いと思うのだけど、
「誰かが意図的に組み込み込んだ」っていう話だと思うけど、ITの世界は違うの?

このニュースを超善意に理解すると

検索大手バイドゥが配布した開発キットには、知らないうちに、誰かが12ものコマンドを持ったバックドアが仕込まれていました。それを知らなかったバイドゥはGoogleのPlayストアに登録してしまいました。そして知らせを受けたバイドゥは誠意を持って改修しました。めでたし、めでたし m(_ _)m

と云う話になるけどね。

シマンテックによると、影響を受けるアプリの種類は684で、バージョンが異なるものなどを別にカウントすると1万4000種を超えるらしい。でもそれのダウンロード数の実態は公表されていないのだw。

なんか変でしょう。>ALL

詳しい人、解説頼むよ!

え?

ps. ここからは単なる仮定の話です。空想のお話ですよ。

例えば「LINE」のアプリの開発に、この開発キットが使われていたとしたら…
「LINE」の社内では使っていなくても、スタッフの誰かが個人的にキットを使っていたら
そして家で思いついたアイデアを自分宛に送信したとしたら
どこまで外部との接触が絶縁されていたとしても怖いよね。
Googl自身がPlayストアへの登録を許してしまった訳だから、
Andoroidoは怖いのかも知れないよ〜 <( ̄□ ̄;)>

信頼性のGe3値の低いところのアプリは使ってはアカン!、というお話ですw。

 

コメント 1 件

ASH より:

バイドゥと書かれてますが、漢字では「百度」となります。そもそものここの企業の起こりは検索サイトで、特に中国本国ではMP3検索が標準で実装されており、違法MP3データをダウンロードするのに便利なことこのうえないのです。当然動画検索もザクザクと。
アメリカの検索サイトが中国当局のマイルール押し付けに反発して撤退したのにも関わらず、この検索サイトが存続してるどころか中国でNo1の地位にある事実からして、政府当局からの方針に従っているのは明白です。
もう一つ、Baidu IMEという、Google IMEを真似したような機能の変換ソフトを開発・提供しています。Android、iOS向けの「Simeji」というIMEも実は百度が開発しています。
どちらのIMEも入力情報の全て、ID、インストール済みソフト一覧を使用者に無断でサーバーに送信していたことが発覚しました。プレスリリースでは「ミスで」としていますが、誰が信用するでしょう?

コメントをどうぞ

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)