BaiduのAndroid用SDK「Moplus」にバックドア
http://security.srad.jp/story/15/11/09/0633226/
バックドア入りアプリを作るようなSDKを配布していた点については、故意なら決定的にダメだし、故意じゃなくても大きい問題放置で配布し続けていた点でダメだし、要するにBaidu話にならんという結論なのは変わらないので置いとくとして・・・
類似事例として、Xcode Ghostが記憶に新しいとこです。
XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成
http://apple.srad.jp/story/15/09/21/0716258/
今まではウィルスだマルウェアだといってもアプリのユーザへの注意喚起が主だったのが、最近はアプリの開発者への注意喚起の話が出てきてます。注意喚起ってってもなんてことはない、正規のところから正式に入手したものを使いましょう、とかそんなレベル。ただ、開発者であったとしても、そんなレベルのことすら守れていないんじゃないかというところが今回の怖いところ。
え、当然みんな正規のルートで入手したもの使うよね?「無料ダウンロード」とか「クラック版」とか称する変なの使ってないよね?どこからDLしようとしているかドメイン確認しているよね?DLするときにフィッシングサイトにだまされてないよね?DLするときにセッション乗っ取られてないよね?DNSポイズニング攻撃とかされてないよね?DL元サーバが乗っ取られてないこと確認してるよね?そもそも今使ってるOSにルートキット入ったりしてないよね?
さて、どこまで本当に本気で確認できるでしょうか。GOM Playerの例のように、自分は悪くないのに気づいたらマルウェア仕込まれてた例もあります。最近はアンチウィルスソフトは機能していないです。裏でなにやってるかわからないんじゃホント何も信じられないです。
じゃオープンソースなLinuxなら大丈夫かと言われるとそれも怪しい。たくさんの人はaptやyumでバイナリで入れちゃうから配布元が汚染されてるとえらいことに(Debianの「どんな環境でビルドしても同一のバイナリを生成できる」試み)。誰もビルドできない、もしくはビルドしているつもりが実は裏でバイナリをDLしているスクリプトが動いているだけだった、なんて話も(ビッグデータツールチェインのセキュリティはビッグリスク、あるいは、誰もHadoopをスクラッチからビルドする方法を知らない件について)。と思ったらみんなクラウド上で構築済み仮想マシンのイメージをコピーして使い始めていたとか、おいその中身大丈夫なんかよと。
高度にツール類が積み重なった環境の上で仕事をすることが多いので、直接の仕事ではない環境構築で手を抜きたいのはわかる。でも手を抜きまくった結果その環境がどう構築されているのかすら再現できない状態なのはどうなのかと。
向かう方向がちょっと違うけど、原因の根っこが似通ってる話として、どんどんバージョンアップしてしまい古いバージョンがすぐにサポート終了になってしまう問題や、それに影響されて古いAndroid端末が古いバージョンのまま放置されてしまう問題もあわせて考えないといけないのかもしれない。
まとまりがないけど、まぁあれですよ、開発者の姿勢や倫理が高度に問われているんじゃないかと思うわけですよ。
ちなみにですが、汚染されたSDKでアプリ作って配布するとやっぱ不正指令電磁的記録に引っかかるんでしょうか。。
