トレンドマイクロは2015年11月6日、中国バイドゥ(百度、Baidu)が提供するAndroid用SDK(ソフトウエア開発キット)の「Moplus」に深刻なセキュリティ上の欠陥が確認されたとして、注意喚起する文書を出した。
Moplus SDKを利用して開発されたアプリを通じて、Android端末で特別なユーザー権限なしに「連絡先の追加」「偽メールの送信」「アプリのインストール」などを実行される恐れがあるという。約1億人のAndroidユーザーが影響を受けたとみられる。
トレンドマイクロは、「脆弱性について調査を進めたところ、Moplus SDK自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになった」と説明している。バイドゥがMoplusに実装したのは、開発過程における不具合による「脆弱性」(欠陥)ではなく、意図的に外部操作を可能とする「バックドア」であるとの見方を示す。
このバックドア動作の前提条件は、「端末をインターネットに接続する」だけだという。トレンドマイクロによれば、Moplus SDKを組み込んだアプリは約1万4000種類あり、うち約4000種類がバイドゥの公式アプリである。公式アプリの一つである「Baidu Map」起動時に、不正なバックグラウンドプログラムが動作し、外部からの操作でAndroid端末に任意の連絡先を追加できることを確認したという。
バイドゥは「バックドアではなく脆弱性」と説明
一方、バイドゥ日本法人の広報担当は、日本で広く使われているバイドゥ公式の日本語入力アプリ「Simeji(シメジ)」ではMoplus SDKを使用しておらず、セキュリティ上の影響はないと説明している。日本で利用者が多いアプリでMoplus SDKを使用しているものは、現時点では把握していないという。
バイドゥは「Moplus SDKに関するすべての脆弱性に迅速に対応し、10月30日までに修正を完了した。Moplus SDKを利用しているすべてのサードパーティー開発者に対しても通知を行った」「我々はあくまで今回の問題を『脆弱性』だと認識しており、意図的に実装した『バックドア』ではない」(日本法人広報担当)と説明している。
バイドゥは2013年にもSimejiに「ログを誤送信するバグ」があったと発表している(関連記事:中国百度がIME入力情報送信問題で見解を発表、「Simejiはバグでログ誤送信」)。