中国の検索大手バイドゥが配布するソフトウエア開発キット「Moplus SDK」に、端末の遠隔操作や情報の抜き取りを可能にする危険なバックドアが見つかった。Moplus SDKを使って開発されたアプリは2015年11月時点で1万4000種類以上あり、非常に大きな問題となっている。バックドアの概要や検証結果などを紹介する。

 中国の脆弱性情報共有サイト「WooYun.org」は2015年10月、中国の検索大手バイドゥが配布するソフトウエア開発キット「Moplus SDK」に、不正アプリのインストールや情報漏えいを引き起こす恐れがある脆弱性があると発表した。さらに、「Wormhole」と名付けられたこの脆弱性を調査した米シマンテックは2015年11月1日、Moplus SDKにはWormhole脆弱性とは別のバックドアが実装されていることを発表した。このバッグドアを悪用すると、端末の様々な情報をリモートから取得したり、連絡先の追加などの操作をリモートから指示したりできる。危険性が高いことから、大きな話題となった。

 Moplus SDKは、バイドゥが提供する「Baidu Map」や「Baidu Searchbox」、「Baidu Music」などの公式アプリで使われているほか、ホーム画面変更アプリ「91 PandaHome2」などの他社製アプリでも使われている。シマンテックによると、影響を受けるアプリの種類は684で、バージョンが異なるものなどを別にカウントすると1万4000種を超えるという。Baidu Musicなどの一部のアプリは、米グーグルのPlayストアでもバックドア付きのバージョンが配布されていた。

 WooYun.orgとシマンテックは、これらの問題について、すでにバイドゥに報告済み。バイドゥは11月4日までに、影響を受ける公式アプリを改修して置き換えている。Playストアに登録していたアプリについては、今後削除する方針だという。

 また、バイドゥの日本法人は、日本語入力アプリ「Simeji」にはMoplus SDKを使用しておらず、影響を受けないと発表した。ただし、プライバシー保護アプリ「Simejiプライバシーロック」には、Moplus SDKとは別の、情報漏洩につながるセキュリティホールが見つかったとして11月14日に同アプリを改修している。

コマンド待受サーバーが稼働

 Moplus SDKに発見されたバックドアの動作概要を図1に挙げた。Moplus SDKを使って開発されたアプリを起動すると、バックグラウンドで密かにWebサーバーが起動される。このWebサーバーが、外部からのコマンドを待ち受け、そのコマンドに従った処理をして結果を返送する。

図1●ソフトウエア開発キット「Moplus SDK」に存在するバックドアの動作
図1●ソフトウエア開発キット「Moplus SDK」に存在するバックドアの動作
Moplus SDKを使って開発されたアプリを起動すると、密かにWebサーバーが起動してリモートからのコマンドを待ち受ける。コマンドを受けると、それに対応した端末操作や情報送信を実施する。
[画像のクリックで拡大表示]

 用意されるコマンドは12種類。アプリ間連携に使用するインテント情報を送るものや、ファイルを送るコマンドもある。インテント情報を悪用すると、連絡先の追加やフィッシングサイトへの誘導、SMSの送信などの操作が可能になるため特に危険である。