サラリーマンによる相場の世界の歩き方: Moplus SDK

スマホ（Android）に衝撃のニュースが走りました。

本日（2015年11月9日）に掲載されたニュース記事です。

（参考記事）東洋経済オンライン
中国バイドゥがAndroidにバラまいた猛毒

このニュースのソースは2015年11月6日公開のTrend Micro社の不正プログラム情報でしょうか。。

脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明

意図的に脆弱性を組み込まれたソフトウェアが大多数に配布され使われているというかなり危険な状態になってしまっています。
このBaiduが提供しているMoplus SDKというソフト（厳密には開発用SDKですが・・・）は大量のアプリ開発に使用されているそうです。
およそ1億人の利用者に影響が出るとか。

で、またその影響がひどい。。。
どのような情報（ファイル）も外部から取得することも可能だし、root権限も外部から取得できるそう。
つまり外部から勝手にアプリインストールすることもできるし、通話なんかもできちゃいます。
そして位置情報なんかもバレバレです。

こんな問題どうすれば・・・
あります！

ずばり、、

通信（モバイル通信、Wifi、Bluutooth等含めすべて）をオフにすること！

です。

どんな不正プログラムであっても通信さえできなきゃ影響はかなり限定されます。
・・・ま、ほぼ使えないものになってしまいますが・・・

Moplus SDK自体はBaiduが公開したものだから、おもに大陸（シナ本土）の金盾（Greate FireWall）内で利用されるアプリに組み込まれてると考えればよいのでしょうか？
Baidu自信が開発したアプリは4,000もあるといわれてますが・・まぁアンインストールすればよいですよね。
ただMoplus SDKを使ったアプリって他にどれだけあるのだろうか？という疑問がおおいに残ってしまいます。
大手で有名ベンダが配布しているアプリだってどこかの業者に発注してます。
そこで外注業者さんがMoplus SDK使ってないかどうかきちんと確認できるんでしょうか・・・・

もし自分のスマホから情報が漏れてしまったら・・・と思うと結構冷や汗ものです。
あと自分だけが気を付けりゃよいかというとそうでもなくてSNSで友達としてつながってる人が影響受けると芋づる式にいろんな人の情報がだだ漏れになっちまうですよね。。。

自分の使ってるアプリにMoplus SDKが含まれてないとはいいきれないのでしばらくはいやーな気持ちで過ごすことになると思います。
念のため、アンチウィルス対策ソフトでフルスキャンしましたが特に問題は発見されず。。
とりあえずはほっと一息（ウィルス対策ソフトが脆弱性を見つけられてない可能性はありますが・・・）

今回Baiduの意図的に組み込まれた脆弱性のニュースが話題になりましたが、身近な話で懸念しているのが日本国内のガラパゴスマホです。

何せAndroidのアップデートの提供されなさ度でいえば世界一と言っても過言はないでしょう。

最近世間を騒がせた、Stagefright2.0問題（全世界10億台のAndroid端末に影響を及ぼす脆弱性「Stagefright 2.0」－MP3ファイルを実行するだけで影響）ですが、、、国内キャリア（影響受けるのはSoftbank）からきちんとアップデート出されてるのでしょうか？

てか、Android5.0にすらなっていないすまほよく見かけるし・・・
脆弱性の塊が放置され続けることになりそうなすまほ（特に日本国内のAndroid端末）ですが、、、
自分だけ気を付けときゃいいってわけじゃないところがつらいです。。。

こういった状況であることを念頭においたうえですまほは使ってく必要あるってこってしょう。
被害（自損、他損含め）あっても致命的なことにならないような使い方した方がよさそうです。