不具合を抱えるMoplus SDK、 Baidu 以外のアプリにも影響

トレンドマイクロは、2015年11月6日、中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」が備えるバックドアに似た機能と、それに関連する「Wormhole」と呼ばれる脆弱性について本ブログで報告しました。Moplus SDK は Baidu が開発し、一般には入手できないため、弊社では当初、この問題は Baidu のアプリのみに限定されると考えていました。しかし、弊社の最新の調査から、Baidu 以外の人気アプリも影響を受けていることが判明しました。

■拡大する影響の範囲
弊社は、この不具合の影響を受ける 1万4千以上のさまざまなモバイルアプリを確認しました。なお、パッケージ名によって同一のアプリと認識される検体が複数あるため、実質的には 684アプリが汚染されていることになります。これらのアプリには、「Baidu Map」や「Baidu Searchbox」といった人気アプリも含まれていることが確認されました。表1 は、この不具合の影響を受けた上位20アプリです。

パッケージ名 最新バージョン 入手した検体数
com.qiyi.video 6.1.2 1576
com.baidu.video 7.9.1 1398
com.baidu.BaiduMap 8.7.0 1307
com.baidu.browser.apps 6.2.16.0 1140
com.baidu.appsearch 6.6.2Beta 1100
com.nd.android.pandahome2 8.2.2 777
com.hiapk.marketpho 6.6.1.81 715
com.android.comicsisland.activity 3.3.10 690
com.baidu.hao123 6.1.1.0 642
com.baidu.searchbox 6.0.1 458
tv.pps.mobile 4.0.0 452
com.mfw.roadbook 5.8.6 417
com.tuniu.app.ui 6.0.7 407
com.ifeng.newvideo 6.9.6 392
com.baidu.netdisk 7.9.0 381
com.quanleimu.activity 6.1.1 329
com.dragon.android.pandaspace 6.6.1.91 322
com.yuedong.sport 3.1.1.4.159 318
com.dongqiudi.news 3.4.6 301
air.fyzb3 5.7.3 286

表1:脆弱なコードを抱えた Moplus SDK の影響を受けた上位20アプリ

■影響を受けたアプリストア
Google の公式アプリストア「Google Play」で現在確認できる Baiduアプリのほとんどは、脆弱なコードを抱えていません。しかし、「Baidu Music」にはこの脆弱なコードが含まれていました。Baidu からの情報によると、同社はこのアプリをもはや更新しておらず、来週には Google Play から削除されるとのことです。弊社ではまた、サードパーティのアプリ「央视影音」がこの不具合を抱えたままであることを確認しました。

アプリ名 パッケージ名 ダウンロード数
百度音乐 com.ting.mp3.oemc.android 50万~100万
央视影音 cn.cntv 10万~50万

表2:脆弱なコードを抱える「Google Play」上のアプリ

Baidu のアプリストア「百度手机助手」(com.baidu.appsearch)経由でダウンロードされたアプリの中で、一番人気のある不具合を抱えたアプリは 10億回以上ダウンロードされていました。表3 は、Baidu の公式アプリストアからダウンロードされた上位20アプリで、Baidu の公式アプリは太字で示されています。また、Baidu 以外のアプリストアの公式アプリは、斜字体で示しています。

アプリ名 パッケージ名 ダウンロード数 最新バージョン
手机百度 com.baidu.searchbox 10億800万 6.0.1
百度地图 com.baidu.BaiduMap 5億 8.7.0
百度浏览器 com.baidu.browser.apps 4億3000万 6.2.16.0
百度贴吧 com.baidu.tieba 2億8000万 6.1.3
百度视频 com.baidu.video 2億6000万 7.9.1
爱奇艺 com.qiyi.video 1億8000万 6.1.2
百度输入法 com.baidu.input 1億7000万 5.4.1.0
百度手机助手 com.baidu.appsearch 1億7000万 6.6.2Beta
百度云 com.baidu.netdisk 5954万 7.9.0
hao123 com.baidu.hao123 4720万 6.1.1.0
91桌面 com.android.nd.pandahome 4405万 7.2
汽车之家 com.cubic.autohome 3558万 4.5.1
汽车报价 com.cubic.choosecar 3444万 3.9.0
凤凰视频 com.ifeng.newvideo 2803万 6.9.6
风云直播 com.fy.zbapp 2705万 5.6.3
途牛旅游 com.tuniu.app.ui 1645万 6.0.7
百度news com.baidu.news 1640万 5.5.2.0
百姓网 com.quanleimu.activity 1535万 6.1.1
央视影音 cn.cntv 1171万 5.4.2
数米基金宝 fund123.com.client2 777万 5.0.0

表3:Baidu のアプリストアからダウンロードされた脆弱なコードを抱えるアプリ上位20

■トレンドマイクロの対策
Baidu は、この脆弱なコードを削除するために、問題を抱えたアプリを更新しています。ユーザは、この脅威から端末を保護するために、インストール済みのアプリを最新バージョンに更新して下さい。また、セキュリティ対策製品をインストールすることにより、この不具合を利用しようとする脅威に対して端末を保護できます。

トレンドマイクロのモバイル端末向け総合セキュリティ製品「Trend Micro Mobile Security」は、脆弱な SDKコードを抱えるアプリ(「ANDROIDOS_WORMHOLE.HRXA」などとして検出)が端末にインストールされる前に検出します。また、アプリウィルススキャナ機能により、インストール済みのアプリをスキャンし、不正なアプリを削除します。

■Baidu との協業
弊社はこの問題を解決するために Baidu と連絡を取っています。Baidu の公式な回答によると、同社はユーザを保護するために、現在以下の対策を実施しています。

  • Baidu の公式アプリの最新バージョンから問題のコードを削除。2015年10月30日時点で、影響のあるアプリは「Baidu Maps」「Baidu Input Method」「Baidu Translate」の3アプリのみであった。これらのアプリの最新バージョンは 11月4日までに公開済み
  • Google Play上のアプリに関しては Baidu はすでに更新しておらず、間もなく削除される予定
  • Baidu は Moplus SDK を利用してアプリを作成した開発者に連絡を取り、アプリが更新されたかどうかを確認している

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)