トレンドマイクロは、2015年11月6日、中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」が備えるバックドアに似た機能と、それに関連する「Wormhole」と呼ばれる脆弱性について本ブログで報告しました。Moplus SDK は Baidu が開発し、一般には入手できないため、弊社では当初、この問題は Baidu のアプリのみに限定されると考えていました。しかし、弊社の最新の調査から、Baidu 以外の人気アプリも影響を受けていることが判明しました。
■拡大する影響の範囲
弊社は、この不具合の影響を受ける 1万4千以上のさまざまなモバイルアプリを確認しました。なお、パッケージ名によって同一のアプリと認識される検体が複数あるため、実質的には 684アプリが汚染されていることになります。これらのアプリには、「Baidu Map」や「Baidu Searchbox」といった人気アプリも含まれていることが確認されました。表1 は、この不具合の影響を受けた上位20アプリです。
| パッケージ名 | 最新バージョン | 入手した検体数 |
| com.qiyi.video | 6.1.2 | 1576 |
| com.baidu.video | 7.9.1 | 1398 |
| com.baidu.BaiduMap | 8.7.0 | 1307 |
| com.baidu.browser.apps | 6.2.16.0 | 1140 |
| com.baidu.appsearch | 6.6.2Beta | 1100 |
| com.nd.android.pandahome2 | 8.2.2 | 777 |
| com.hiapk.marketpho | 6.6.1.81 | 715 |
| com.android.comicsisland.activity | 3.3.10 | 690 |
| com.baidu.hao123 | 6.1.1.0 | 642 |
| com.baidu.searchbox | 6.0.1 | 458 |
| tv.pps.mobile | 4.0.0 | 452 |
| com.mfw.roadbook | 5.8.6 | 417 |
| com.tuniu.app.ui | 6.0.7 | 407 |
| com.ifeng.newvideo | 6.9.6 | 392 |
| com.baidu.netdisk | 7.9.0 | 381 |
| com.quanleimu.activity | 6.1.1 | 329 |
| com.dragon.android.pandaspace | 6.6.1.91 | 322 |
| com.yuedong.sport | 3.1.1.4.159 | 318 |
| com.dongqiudi.news | 3.4.6 | 301 |
| air.fyzb3 | 5.7.3 | 286 |
表1:脆弱なコードを抱えた Moplus SDK の影響を受けた上位20アプリ
■影響を受けたアプリストア
Google の公式アプリストア「Google Play」で現在確認できる Baiduアプリのほとんどは、脆弱なコードを抱えていません。しかし、「Baidu Music」にはこの脆弱なコードが含まれていました。Baidu からの情報によると、同社はこのアプリをもはや更新しておらず、来週には Google Play から削除されるとのことです。弊社ではまた、サードパーティのアプリ「央视影音」がこの不具合を抱えたままであることを確認しました。
| アプリ名 | パッケージ名 | ダウンロード数 |
| 百度音乐 | com.ting.mp3.oemc.android | 50万~100万 |
| 央视影音 | cn.cntv | 10万~50万 |
表2:脆弱なコードを抱える「Google Play」上のアプリ
Baidu のアプリストア「百度手机助手」(com.baidu.appsearch)経由でダウンロードされたアプリの中で、一番人気のある不具合を抱えたアプリは 10億回以上ダウンロードされていました。表3 は、Baidu の公式アプリストアからダウンロードされた上位20アプリで、Baidu の公式アプリは太字で示されています。また、Baidu 以外のアプリストアの公式アプリは、斜字体で示しています。
| アプリ名 | パッケージ名 | ダウンロード数 | 最新バージョン |
| 手机百度 | com.baidu.searchbox | 10億800万 | 6.0.1 |
| 百度地图 | com.baidu.BaiduMap | 5億 | 8.7.0 |
| 百度浏览器 | com.baidu.browser.apps | 4億3000万 | 6.2.16.0 |
| 百度贴吧 | com.baidu.tieba | 2億8000万 | 6.1.3 |
| 百度视频 | com.baidu.video | 2億6000万 | 7.9.1 |
| 爱奇艺 | com.qiyi.video | 1億8000万 | 6.1.2 |
| 百度输入法 | com.baidu.input | 1億7000万 | 5.4.1.0 |
| 百度手机助手 | com.baidu.appsearch | 1億7000万 | 6.6.2Beta |
| 百度云 | com.baidu.netdisk | 5954万 | 7.9.0 |
| hao123 | com.baidu.hao123 | 4720万 | 6.1.1.0 |
| 91桌面 | com.android.nd.pandahome | 4405万 | 7.2 |
| 汽车之家 | com.cubic.autohome | 3558万 | 4.5.1 |
| 汽车报价 | com.cubic.choosecar | 3444万 | 3.9.0 |
| 凤凰视频 | com.ifeng.newvideo | 2803万 | 6.9.6 |
| 风云直播 | com.fy.zbapp | 2705万 | 5.6.3 |
| 途牛旅游 | com.tuniu.app.ui | 1645万 | 6.0.7 |
| 百度news | com.baidu.news | 1640万 | 5.5.2.0 |
| 百姓网 | com.quanleimu.activity | 1535万 | 6.1.1 |
| 央视影音 | cn.cntv | 1171万 | 5.4.2 |
| 数米基金宝 | fund123.com.client2 | 777万 | 5.0.0 |
表3:Baidu のアプリストアからダウンロードされた脆弱なコードを抱えるアプリ上位20
■トレンドマイクロの対策
Baidu は、この脆弱なコードを削除するために、問題を抱えたアプリを更新しています。ユーザは、この脅威から端末を保護するために、インストール済みのアプリを最新バージョンに更新して下さい。また、セキュリティ対策製品をインストールすることにより、この不具合を利用しようとする脅威に対して端末を保護できます。
トレンドマイクロのモバイル端末向け総合セキュリティ製品「Trend Micro Mobile Security」は、脆弱な SDKコードを抱えるアプリ(「ANDROIDOS_WORMHOLE.HRXA」などとして検出)が端末にインストールされる前に検出します。また、アプリウィルススキャナ機能により、インストール済みのアプリをスキャンし、不正なアプリを削除します。
■Baidu との協業
弊社はこの問題を解決するために Baidu と連絡を取っています。Baidu の公式な回答によると、同社はユーザを保護するために、現在以下の対策を実施しています。
- Baidu の公式アプリの最新バージョンから問題のコードを削除。2015年10月30日時点で、影響のあるアプリは「Baidu Maps」「Baidu Input Method」「Baidu Translate」の3アプリのみであった。これらのアプリの最新バージョンは 11月4日までに公開済み
- Google Play上のアプリに関しては Baidu はすでに更新しておらず、間もなく削除される予定
- Baidu は Moplus SDK を利用してアプリを作成した開発者に連絡を取り、アプリが更新されたかどうかを確認している
参考記事:
- 「Moplus SDK Issues Extend to Non-Baidu Apps」
by Jordan Pan(Mobile Threats Analysts)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)