バイドゥがアプリのセキュリティ問題報道に抗議「バックドアはない」

バイドゥは1月15日、同日付けの読売新聞社会面に同社のアプリが「無断で情報送信」したとする記事が掲載されたことについて「誤報道である」と抗議を行ったことを明らかにした。

同記事では、バイドゥのアプリ「Simejiプライバシーロック」に「スマートフォンが乗っ取られる」「バックドアがある」「情報を勝手に送信する」恐れがあると報じていた。この報道に至った経緯としては、バイドゥの中国本社が提供するアプリSDK「Moplus」にバックドアが存在していた疑いがあることも理由に挙げられる。

一方でバイドゥは、今回の報道が「読者の誤解を招く内容」として、厳重な抗議を行ったようだ。その根拠として、この「Moplus」がSimejiプライバシーロックで使われていないことを挙げている。また、Moplusと同時期に脆弱性によるSimejiプライバシーロックのアップデートが行われたことは事実であるものの、プライバシーロックアプリの脆弱性は「プッシュ通知を実装するPush SDK」の脆弱性であり、本質的に関係がないと説明している。

これ以外にも、スマートフォンが乗っ取られる可能性はプッシュ通知の脆弱性を突いても"実現不可能"であることや、(バックドアがあるとされていたSDKも使用していないことから)バックドアも存在しないこと、情報を勝手に送信する機能はないことをユーザーに説明している。

一方で、1月31日をもって、SimejiプライバシーロックアプリのGoogle Playの配信が停止されている事実もある。この理由は、同社のチェック体制の見直しによるもので、「当社のアプリに『スマホが乗っ取られる可能性』が存在するためではない」とコメントしている。

スマートフォンアプリ製作上のセキュリティ問題では、上記のバイドゥ提供SDK「Moplus」のバックドア実装への疑いのほか、iOSアプリ制作ツールキット「Xcode」を改変して不正なコードを埋め込んだ「XcodeGhost」が昨年下半期に話題となっている。