百度のSDKにバックドア、Androidユーザー1億人に影響か - Simejiは対象外

トレンドマイクロでは、異なる２つのアプリ「Baidu Map(com.baidu.BaiduMap, 8.7.0)」と「簡体字のアプリ(com.ufo.dcb.lingyi, 1.3)」を解析した。SDKのバージョンは違っていたが、コードはほぼ同じであった。

Moplus SDKは、独立したプロセスで取り入れられており、「com.baidu.android.moplus.MoPlusService」と呼ばれる主要サービスが、端末の起動中を含め、さまざまなBroadcastReceiverによって開始する。

ユーザーがアプリを起動すると、Moplus SDKは自動的にローカルのHTTPサーバーバックグラウンドで設定する。HTTPサーバ設定には、簡易なオープンソースのHTTPサーバ「NanoHttpd」を利用する。Moplus SDKは、ソケットを通過するメッセージを監視し続けるため、NanoHttpd を組み込み、HTTPサーバを変更する。
HTTPサーバが接続する TCPポートはいつも同じではなく、今回の調査時には、com.ufo.dcb.lingyi と接続したポート番号は6259で、com.baidu.BaiduMap に対しては、ポート番号40310が接続したことを確認した。