中国の大手ネットサービス「Baidu(百度)」が提供している「Moplus」というSDK(ソフトウェア開発キット)に、ネットワーク経由で様々な処理を呼び出されてしまう恐れのある「バックドア」と呼ばれる問題が見つかって波紋を呼んでいる。
インターネットへのアクセスが制限されている中国では、BaiduがGoogleの代わりのサービスとして広く利用されており、多くの中国製アプリがBaiduの機能を利用するためにこのSDKを組み込んでいるようだ。

セキュリティソフトメーカーのトレンドマイクロの発表によると、Moplusは端末上でHTTPサーバとして接続を待ち受け、受け取った命令に従って処理を実行するという。
この時、命令の送信元の確認などは行われていないため、端末上の他のアプリだけでなく、ネットワークで繋がった他のコンピュータからも呼び出せてしまう。
それだけなら、アプリ同士の連携のための機能の脆弱性と考えられなくもないが、Moplusにはユーザーへの確認が表示されない方法でアプリのインストールを試みるなど、不正な使い方しか考えられないような処理も含まれていることが確認されたという。
指摘を受けたBaiduは、Moplusを修正していくつかの危険な機能を無効化したが、バックドア自体は残っており、呼び出し元の制限なども加えられていないようだ。

インターネット側からアクセスするためのグローバルIPアドレスが付与されていない一般的なスマホ環境では、バックドアを悪用できる条件は限られているが、念のため問題のあるアプリの使用は避けておいた方がいいだろう。

・脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ