Androidアプリの「Moplus問題」
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
今回も、OSSかどうかは微妙ではありますが、11月当初に発覚してから話題が大きくなっているため、Androidアプリの「Moplus問題」について触れてみます。
「Moplus問題」とは
そもそも「Moplus」とは、中国の検索エンジン「百度(Baidu)」の提供しているAndroidアプリのソフトウェア開発キット(Software Develoment Kit、SDK)です。
この「Moplus」に「Wormhole」と呼ばれる脆弱性が発見され、2015/10/21に中国の脆弱性報告プラットホームの「WooYun.org」に報告されました。
しかしながら、トレンドマイクロ社による調査が進む中で、そもそもこの「Moplus」自体にバックドア機能が実装されている事が判明しました。
Modplus SDKのバックドアによる脅威
このSDKのバックドアにより、大まかに下記のような脅威がユーザの許可なしに実施されると想定されます。
- フィッシングサイトへの誘導
- アプリをAndroid端末にインストール
- 偽のSMS送信
- リモートサーバへのローカルファイルのアップロード
詳しい動作は、トレンドマイクロ社のサイトに記載されています。
対応方法と今回の教訓
今回騒動になったものは開発環境のため、この開発環境で開発されたアプリには同じようにバックドアがあると考えたほうが良いでしょう。TrendMicroによると、このModplus SDKを組み込んだアプリは14,112存在し、そのうちの4,014がBaiduの公式アプリとのことです。そのため、今回は多くのAndroidユーザが脆弱性を抱えたソフトを使っている可能性があると思われます。
TrendMicroの報告により、GoogleとBaiduは今回の件に対して対応を行っており、Baiduでは2015/10/30からこの脆弱性に対処しているとの事です。現在感染したアプリの次期バージョンをリリースしているとの事のため、アプリの情報を確認し、また不要なアプリは削除してなるべくリスクを減らしておくという対処が推奨されます。
今回の教訓としては、Android端末にもアプリをインストールしてしまう前に、本当に自分の端末に、そのアプリが必要なのかどうかを再度考えて、不要なアプリは削除しておくなどを考えるべきです。これにより、感染のリスクを減らすことが出来ます。
また、以前のiPhoneに対してのXcodeGhostと同じく、開発環境がターゲットになってきている傾向があることに注意する必要があります。ただし、ここのところは今回のように”開発環境の開発元”によって左右されてしまうため、開発・提供する側ではなるべく信頼できる開発環境を使うという事ぐらいしか自衛の方法は無いと思われます。
また、開発環境自体の問題がここの所頻発しているため、各社セキュリティベンダーでもこのような開発環境自体を守るソリューションがいずれ出てくると思われます。
いずれにしても、開発・提供側も、「開発環境自体の安全性」に気を使う必要がある時代になったと言えるでしょう。
Trend Micro