今更のSimeji問題。読売と百度、両社の発表を添削してみた

百度が提供していたSimejiプライバシーロックの問題が今更掲載されているようです。
読売新聞さん…なんで、今更何ですか・ω・;

とりあえず、両方の言い分がおかしいので添削してみたよ

「百度」提供のアプリ、スマホ乗っ取られる恐れ : 社会 : 読売新聞(YOMIURI ONLINE)

「百度」提供のアプリ、スマホ乗っ取られる情報漏えいの恐れ
2016年01月15日 03時00分

 スマートフォンの基本ソフト(OS)「アンドロイド」端末向けに国内で提供されているアプリに、本来存在しないはずの「バックドア」(裏口)があると指摘されていたことが分かった。

 このアプリは、中国検索大手の百度(バイドゥ)が提供するアンドロイド用アプリ「Simejiプライバシーロック」(SPL)。他人に見られたくないスマホの写真やアプリなどに個別に鍵をかけ、非表示にする機能を持つ。国内で約4500人がダウンロードしたとされる。

 情報セキュリティー会社トレンドマイクロ(東京)が昨年秋、百度の提供するアプリ開発キットに、外部からの侵入を許すバックドアを確認した。このキットで作られたアプリにはバックドアが仕込まれる。

 情報セキュリティー会社はスマホを乗っ取られる可能性も指摘しておりいた。
「Simejiプライバシーロック」(SPL)は百度の外国向けアプリ開発部隊 DU Apps Studio が開発したSimejiとは関係ない製品だが、百度はこれをSimejiブランドで発表。このアプリで見つかったバックドアは、この開発キットから派生した別の開発キットが持っていた脆弱性によるもので、乗っ取られる危険はないが、アプリ提供会社が利用者に対し、OEMアプリケーションの検査体制を見直すまで公開停止し、今月中のアプリ削除する発表をするなどを呼び掛ける事態になっている。

2016年01月15日 03時00分 Copyright c The Yomiuri Shimbun

添削するとこんな感じ。MoPlus の話とごっちゃになってるね
一方の百度の報告

本日付の読売新聞社会面の誤報道について | バイドゥ株式会社

2016年01月15日 11:30発表

本日付の読売新聞社会面の誤報道について

本日(2016年1月15日)付の読売新聞社会面に、「アプリ 無断で情報送信」と題する記事が掲載されていることを確認いたしました。

本記事には以下の通り事実と異なる内容、読者の誤解を招く内容が記載されておりますため、当社からは読売新聞に対して厳重な抗議を行っております。

1.「スマホ乗っ取られる恐れ」という記載について

当社のアプリにより「スマホが乗っ取られる」という可能性は全くございません。悪意ある第三者でも、当社のアプリの脆弱性を突いて「スマホを乗っ取る」ことはできません。

2.「バックドアがある」という記載について


当社のアプリには「バックドア」はございません。
また、「バックドアが仕込まれる」という表現それ自体、いかなる事象を指しているのか不明であり、読者の誤解を招くものです。

本来の仕様にない方法で、外部からの接続ができるのはバックドアであってると思うんですが…。意図的ではないにしても、ちゃんと書くべき。



3.「情報を勝手に送信する」という記載について

当社のアプリが「情報を勝手に送信する」ことはございません。当社が従前より当ページで発表しております通り、プッシュ通知を行う機能を実
装する「Push
SDK」に脆弱性があり、この脆弱性を突いて悪意ある第三者が端末の情報を獲得できる可能性がございました。また、この脆弱性は発見後直ちに修正され、昨
年11月14日時点でGoogle Playにて修正版を公開しました。

4.「Moplus SDK」の脆弱性の問題と「Simejiプライバシーロック」の脆弱性の問題とは異なる点について

トレンドマイクロ社が、北京の百度本社が配布する「Moplus
SDK」についての問題を同社のブログ上で指摘していることは、当社も確認しております。一方「Simejiプライバシーロック」にはで問題なったのは「Moplus
SDK」から派生した「Push SDK」ではあるもののは使用されておらず、両者の脆弱性の問題は異なります。

5.トレンドマイクロ社と百度本社とのやりとりについて、事実と異なる点について

実際には、トレンドマイクロ社の指摘を受けた時点で、「Moplus SDK」の脆弱性は修正が完了しておりました。従って、「Moplus SDK」の脆弱性によって「情報を抜き取られる可能性は、指摘されるまで気づかなかった。」という説明は、当社からはしておりません。

「Push SDK」の脆弱性によって「情報を抜き取られる可能性を、指摘されるまで気づかなかった。」が正しいです。


6.当社は「Simejiプライバシーロック」の削除を呼びかけてはいない点について

当社は、昨年11月13日時点で「Simejiプライバシーロック」の問題を発見し、直ちに問題を修正しました。しかし、修正版が
Google
Play上で公開されるまで時間差があったことから、一時的に(昨年11月13日20:00から翌14日04:00までの約8時間)「脆弱性のあるバー
ジョンのアンインストール」をお願いしたことがございました。しかし、当社が「Simejiプライバシーロック」の恒久的な削除を呼びかけたことはござい
ません。当社が同アプリの削除を呼びかけたという記述は、事実とは異なります。

なお、既にお知らせしております通り、当社は「Simejiプライバシーロック」のGoogle
Play上での配信を本年1月31日で停止する予定です。公開停止の理由は、既にお知らせしております通り、当社内のチェック体制の見直しに伴うもので
す。当社のアプリに「スマホが乗っ取られる可能性」が存在するためではございません。

当社では昨年11月末より読売新聞社会部の取材を受けており、当社の認識についてご説明しておりましたが、上記の通り記事内容には事実関係について多くの誤りがあり、誠に遺憾です。当社からは既に、読売新聞に対して厳重な抗議を行っております。

お問い合わせ先:

info_jp@baidu.com

まぁ、こんな感じですよね。
確かに全然違う脆弱性なんだけど、Push SDK が MoPlus SDKから派生したこともあるのでちょっとややこしくなってる。

MoPlus SDKが持っていた端末を完全に乗っ取るような機能はないんだけど、MoPlus SDKの機能の一つでバックドアになりうる脆弱性を残したまま削除するのを忘れていたってのが正しい。

|。・ω・)。o (正直に書けばいいのに、下手にごまかすから擁護しきれないんだけど、どうしたらいいんだい? )

【悲報】8月に広告が問題になった百度のSimejiアプリにMoPlusと同じ脆弱性がある事が発覚(現在は修正済み)

おすすめ

2件のフィードバック

  1. M_M より:

    そして今度は、トレンドマイクロが叩かれた、っと
    ttp://japan.zdnet.com/article/35076105/

  2. 黒翼猫 より:

    http://twitter.com/BlackWingCat/status/687872939681644545
    ネタにしようかなとは思ってたんですけどね・ω・

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です