百度傘下企業のセキュリティソフト、利用者データを吸い出していた模様

「中国のモバイル・アンチウイルスアプリ、利用者データの吸い出しが発覚」

www.bleepingcomputer.com

百度(Baidu)の一員とされるDU GroupによるAndroid向けアプリ「DU Antivirus Security」が、利用者データ(連絡先や通話ログ、位置情報など)を吸い出して外側のサーバに送信していることが、Check Pointの調査により明らかになりました。ちなみにこのサーバを登録していたドメインの持ち主はBaiduの従業員だったそうです。また、取得されたデータはDU Groupの別アプリDU Callerで利用されていた模様。

Googleはこの件の連絡を受けて、8月24日に同アプリをGoogle Playから削除しました。DU Groupはデータ収集部分を削除して再アップし、8月28日には復帰したとのこと。

なお、Check Pointの調査によれば、他にも同社アプリの30個に同様のコードが含まれており、うち12個はGoogle Playで配信されていたそうです。

ちなみに、前述のDU Callerは今年(2017年)の前半にも利用者データを(許可を受けずに)取得しているとして、中国国内で話題になっていたとか。