2015年11月9日月曜日

中国Baiduが今度はAndroidアプリ開発キットに不正コード。日米安全保障強化に今こそ日本主導のスマホ革新を

http://surouninja.blogspot.com/2015/11/China-military-backed-Baidu-injects-the-malware-to-its-Android-Software-Dev-Kit.html
中国バイドゥ(Baidu)が提供するAndroidアプリ開発キット「Moplus」に重大なセキュリティホールが見つかったようである。そのセキュリティホールとは、同開発キットを使って作られたAndroidアプリにバックドアが組み込まれるというものだ。

このバックドア組み込み機能はBaidu社の設計ミスなどではなく、同社によって意図的に作られた可能性が高いとのことである。これは、中共がAndroidユーザを踏み台にしてサイバーテロを実行するために仕込んだとしか考えられない。

http://news.nicovideo.jp/watch/nw1884399?news_ref=top_latest
中国バイドゥがAndroidにバラまいた猛毒
2015/11/9(月)9:50 東洋経済オンライン
バイドゥの「Moplus」に重大な問題が見つかった(2015年 ロイター/Kim Kyung-Hoon)
東洋経済オンライン

中国のバイドゥ(百度)が提供するAndroid用アプリに重大なセキュリティ上の問題が発覚。その影響範囲の広さから衝撃が走っている。この問題への対処は可能だが、感染経路などを考えると、今後の影響は広範囲に及ぶ可能性がある。

問題が見つかったのはバイドゥが提供しているAndroidアプリ開発キット(アプリ開発を容易にする部品集)の「Moplus」だ。Moplusは、特に中国で開発されているAndroid用アプリに多数採用されている。影響範囲が広い理由の一つは、開発キット自身がセキュリティ問題を抱えているため、それを使って作成されたアプリにも同様の問題が存在している可能性を否定できないためだ。

■バイドゥには前科

バイドゥがセキュリティ問題を引き起こしたのは今回が初めてではない。日本語かな漢字変換ソフト「simeji」に、入力した文字列をバイドゥのサーバーにアップロードする機能が備わっていることが発覚。自治体などが業務に使用していた例もあって大きな問題となった。

しかし今回の衝撃はもっと大きい。Moplusには”バックドア”と呼ばれる、侵入口を勝手に開いてしまう機能が備わっていたのだ。Moplusを使ったアプリを使うと、使用している端末にバックドアが仕掛けられてしまう。さらに、仕掛けたバックドアを使って簡単に端末を遠隔操作する機能まで有している。

バイドゥは中国を代表するネット企業なのに・・・

そのような機能を備えた開発キットを、中国を代表するネット企業と言えるバイドゥが作り大々的に配布。数多くのアプリ開発業者が利用していたからこそ”衝撃”が走ったのだ。

Moplusに深刻な脆弱性があると指摘されたのは、10月21日のこと。Moplusを使ったアプリケーションを動かすと、Android端末に”ワームホール”と呼ばれる外部コンピュータから容易に侵入できる穴(一種のバックドア)を作るというものだった。

ところが、11月6日のトレンドマイクロによる報告によると、事情がどうやら違うことがわかってきた。特定機能を実現する上での設計ミスなどに起因した脆弱性ではなく、Moplus自身の機能としてワームホールを作る機能が提供されていたようである。つまり、意図的なものだった可能性が高まっている。

トレンドマイクロがMoplusを使ったふたつのAndroidアプリで確認したところ、いずれのアプリも起動後に自動的にWebサーバーを起動する。このWebサーバーはネットからのアクセスを検出し、外部コンピュータから不正な処理を実行可能にしてしまうのだという。

一度、起動されるとシステムに登録されるため、次回からは端末を起動するだけでワームホールが出現し、いつでも端末に侵入可能な状態になる。

今米国では、中国からのサイバー攻撃は激しさを増している。米国でさえそのような状態なのだから、スパイ天国の日本はもっと酷い状態であることが容易に想像が出来る。

参考:
2015年4月2日木曜日
米大統領令:中国のサイバー攻撃に制裁措置。

なお、今回のAndroidアプリ開発キットに含まれていた問題と同種の問題は、Apple社のiOSアプリの開発ツールでも既に確認されている。Baiduのサーバで公開されていたXcode(iOSアプリの開発環境)の改竄版(XcodeGhostと呼ばれている)にも、作成アプリの内部にバックドアが組み込まれるような仕掛けが組み込まれていたことが先々月発覚しているのだ。XcodeGhostにBaiduが関与していたかどうかは不明だが、中共軍が関与しているBaidu社が無実だと考えるのは難しい。

http://japanese.engadget.com/2015/09/23/app-store-xcodeghost-cia/
App StoreのXcodeGhost事件、手法はCIAの研究と一致。作者名乗る人物がソースコード公開

BY Munenori Taniguchi 2015年09月23日 22時13分
0

App Store 史上初のマルウェア大量感染を起こしたXcodeGhostの続報。ツールを改竄することで開発者の意志とは無関係にアプリをマルウェア化するXcodeGhostの手法は、かつてCIAが進めていた「アップル製デバイスのセキュリティを破る研究」と同一であることが指摘されています。
今年3月、米国の調査報道サイトThe Interceptは、CIAのセキュリティ会合 Jamboree 2012 について流出資料を元に報じていました。The Interceptといえば、 NSA(米国家安全保障局)にいたエドワード・スノーデンの内部告発を伝えた記者グレン・グリーンワルドが編集者を務めるニュースサイト。Jamboree 2012で発表されたハッキング技術のひとつに、アップル製品から情報を盗むためXcodeを改竄し、そうとは知らない開発者のアプリにバックドアを仕込む手法がありました。XcodeGhostの最初のバージョンは The Intercept の報道の直後に見つかっていることから、作者が Jamboree 2012 の研究をヒントにして、コンセプトを実証するために作成したとも考えられそうです。

中国ではインターネット環境の悪いところも多く、特に海外サーバへの接続は特有の事情から遅いため、国外のサーバーにある数GBの Xcode をダウンロードするのに何時間もかかることがあります。登録した開発者ならばアップルから無料で入手できるはずのXcodeをわざわざ野良サイトから落として改竄バージョンを掴んでしまった理由としては、少しでも早く入手するため、中国国内にサーバがあるファイル共有サイトにある「ミラー」を選んだことが考えられます。

アップル純正の Xcode に幾つかのコードを付け足して改ざんしたとされる XcodeGhost も、こうしたコピー版と同じように、バイドゥのクラウドファイル共有サービスにアップロードされていたことがわかっています。バイドゥは騒動の発覚後、すべての Xcode コピーを削除しました。

実際、Baidu社には前科がある。

参考:
2013年12月26日木曜日
日本語入力:Baiduが入力文字を無断で収集。

スマホが普及して便利になったとは言え、敵性国企業にここまでやられ放題のままだと既存のスマホ(AndroidとiOSスマホ)を公私ともに安心して使うことは難しくなるだろう。

ちなみに、経済面で見ても、既存のスマホ業界の産業構造では日本経済へのメリットは然程大きくはない。日本の部品は売れても、最終的に儲かるのは米国(赤いApple社)と中韓企業ばかりだからだ。これは日本の電機産業の貿易赤字の大きな原因となっている。このような状態は、日本の経済のみならず安全保障面で見ても決して好ましい状況とはいえない。

日本の国益を考えるなら、スマホ業界にもそろそろ次の革新が必要なのではないか(革新を仕掛けていくべきではないだろうか)と個人的には考えている。

その第一段階としては、現在Google社が開発しているChrome OSのようなシンプルでセキュリティ面でメリットの大きいOSを搭載したデバイスを普及させていくべきではないかと考えている。既に発売されているChromebookはなかなか良い線を行っていると思われるが、これをスマホ(ここでは仮に「Chromephone」と命名しておく)に移行するとなると、既存のハードをかなり変更する必要があるだろう。HTML5アプリが、よりNativeアプリと同じように軽快に動くよう、ハードを改良する必要があるということだ。このChromephoneの“ハード開発”という部分こそ、日本企業が出張って行ける得意分野なのではないだろうか。今後はTPPの枠組みにより中韓企業が締め出されることはほぼ確定しているわけだが、逆に日本の電機産業には再び好機が訪れることになるだろう。

日本の電機産業は、スマホの革新に積極的に関与して主導権を握ることができれば、再び黒字産業として返り咲くことができるはずである。

また、信用ゼロの中韓企業を電機業界から排除することは、日米の安全保障においても非常に重要なことなのである。

スマホの革新と日本の電機産業の復活には今から大いに期待している。

関連:
2014年11月1日土曜日
「Androidの父」退社とグーグルのリスク回避。
2013年11月1日金曜日
米グーグルはAndroid事業を切り捨てるべし。