■ バイドゥが配布した開発キットにバックドアが見つかる
記事を読めば判るが「中国のアプリ開発キットにバックドアがあった」と云うニュースだ。
二ユースでは
中国の検索大手バイドゥが配布するソフトウエア開発キット「Moplus SDK」に、不正アプリのインストールや情報漏えいを引き起こす恐れがある脆弱性があると発表した。
との記事に続いて、
WooYun.orgとシマンテックは、これらの問題について、すでにバイドゥに報告済み。バイドゥは11月4日までに、影響を受ける公式アプリを改修して置き換えている。Playストアに登録していたアプリについては、今後削除する方針だという。
よく判らないのは「実装されていた」とか「12のコマンドがあった。」とか言っている訳だけど、
「通知しました。」「はい、直しました。」で記事が終わっている点だ。
実装とか12のコマンドとかの話は、ただ事では無いと思うのだけど、
「誰かが意図的に組み込み込んだ」っていう話だと思うけど、ITの世界は違うの?
このニュースを超善意に理解すると
検索大手バイドゥが配布した開発キットには、知らないうちに、誰かが12ものコマンドを持ったバックドアが仕込まれていました。それを知らなかったバイドゥはGoogleのPlayストアに登録してしまいました。そして知らせを受けたバイドゥは誠意を持って改修しました。めでたし、めでたし m(_ _)m
と云う話になるけどね。
シマンテックによると、影響を受けるアプリの種類は684で、バージョンが異なるものなどを別にカウントすると1万4000種を超えるらしい。でもそれのダウンロード数の実態は公表されていないのだw。
なんか変でしょう。>ALL
詳しい人、解説頼むよ!
ps. ここからは単なる仮定の話です。空想のお話ですよ。
例えば「LINE」のアプリの開発に、この開発キットが使われていたとしたら…
「LINE」の社内では使っていなくても、スタッフの誰かが個人的にキットを使っていたら…
そして家で思いついたアイデアを自分宛に送信したとしたら…
どこまで外部との接触が絶縁されていたとしても怖いよね。
Googl自身がPlayストアへの登録を許してしまった訳だから、
Andoroidoは怖いのかも知れないよ〜 <( ̄□ ̄;)>
信頼性のGe3値の低いところのアプリは使ってはアカン!、というお話ですw。
バイドゥと書かれてますが、漢字では「百度」となります。そもそものここの企業の起こりは検索サイトで、特に中国本国ではMP3検索が標準で実装されており、違法MP3データをダウンロードするのに便利なことこのうえないのです。当然動画検索もザクザクと。
アメリカの検索サイトが中国当局のマイルール押し付けに反発して撤退したのにも関わらず、この検索サイトが存続してるどころか中国でNo1の地位にある事実からして、政府当局からの方針に従っているのは明白です。
もう一つ、Baidu IMEという、Google IMEを真似したような機能の変換ソフトを開発・提供しています。Android、iOS向けの「Simeji」というIMEも実は百度が開発しています。
どちらのIMEも入力情報の全て、ID、インストール済みソフト一覧を使用者に無断でサーバーに送信していたことが発覚しました。プレスリリースでは「ミスで」としていますが、誰が信用するでしょう?