ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

ユーザー情報の収集は「手違い」、中国企業が経緯を説明

» 2016年11月17日 08時09分 公開
[鈴木聖子ITmedia]

 米国で販売されていたAndroid端末からユーザーの個人情報が許可なく中国のサーバに送信されていたと伝えられた問題で、関与を名指しされた中国企業が11月16日、声明を発表して問題が起きた経緯を説明した。

 米モバイルセキュリティ企業のKryptowireによると、米Amazonなどで販売されていたBLU Products製の端末などのファームウェアで、ユーザーが送受信したSMSの本文や連絡先、通話履歴といった情報が収集され、上海にあるサーバに定期的に自動送信されていたという。

 こうした監視活動は商用のFirmware Over The Air(FOTA)を使って行われ、Shanghai Adups Technology(以下、Adups)という企業が管理していたとKryptowireは伝えていた。

 Adupsは各国の端末メーカーやモバイル通信事業者、半導体メーカー向けにFOTAアップデートサービスを手掛ける企業。Adupsの声明によると、適正なアップデートとサービスを提供する目的で、携帯電話やメッセージからモデル情報とデバイスの状況、アプリケーション情報、bin/xbin情報およびサマリー情報を収集し、その情報を使って適切なアップデートとサービスが正しいデバイスに送られていることを確認しているという。

Adupsの声明

 しかし、「迷惑メールや電話を排除したいという顧客からの要望」に応えて、ADUPS FOTAアプリケーションでそうしたメールや電話を洗い出す機能を開発。収集したメールの中からバックエンドのデータ分析を使って迷惑メールを見つけ出し、携帯電話エクスペリエンスの向上に役立てているという。

 ところが2016年6月、一部のBlu Products製端末に適用されたADUPS FOTAのバージョンに、他の顧客の要望で実装された迷惑メールと通話の特定機能が手違いによって導入されていたことが判明。Bluからの抗議を受けて直ちにこの機能は無効化したといい、Blu端末から収集したメールや通話記録などの情報は削除したとAdupsは説明している。

Blu Productsによれば「R1 HD」「Energy X Plus 2」「Studio Touch」「Advance 4.0 L2」「Neo XL」「Energy Diamond」の6機種に問題の機能が搭載されていた

 「Bluのファームウェアの更新版では迷惑メールや通話の特定が行われていないことを確認するため、AdupsはBluやGoogleと協力してきた」と同社は述べ、パートナーやユーザーに謝罪している。

Copyright © ITmedia, Inc. All Rights Reserved.