ユーザー情報の収集は「手違い」、中国企業が経緯を説明
“他の顧客の要望”で実装された迷惑メールと通話の特定機能が、手違いによって米国で販売されていた一部のBlu Products製端末に導入されたという。
米国で販売されていたAndroid端末からユーザーの個人情報が許可なく中国のサーバに送信されていたと伝えられた問題で、関与を名指しされた中国企業が11月16日、声明を発表して問題が起きた経緯を説明した。
米モバイルセキュリティ企業のKryptowireによると、米Amazonなどで販売されていたBLU Products製の端末などのファームウェアで、ユーザーが送受信したSMSの本文や連絡先、通話履歴といった情報が収集され、上海にあるサーバに定期的に自動送信されていたという。
こうした監視活動は商用のFirmware Over The Air(FOTA)を使って行われ、Shanghai Adups Technology(以下、Adups)という企業が管理していたとKryptowireは伝えていた。
Adupsは各国の端末メーカーやモバイル通信事業者、半導体メーカー向けにFOTAアップデートサービスを手掛ける企業。Adupsの声明によると、適正なアップデートとサービスを提供する目的で、携帯電話やメッセージからモデル情報とデバイスの状況、アプリケーション情報、bin/xbin情報およびサマリー情報を収集し、その情報を使って適切なアップデートとサービスが正しいデバイスに送られていることを確認しているという。
しかし、「迷惑メールや電話を排除したいという顧客からの要望」に応えて、ADUPS FOTAアプリケーションでそうしたメールや電話を洗い出す機能を開発。収集したメールの中からバックエンドのデータ分析を使って迷惑メールを見つけ出し、携帯電話エクスペリエンスの向上に役立てているという。
ところが2016年6月、一部のBlu Products製端末に適用されたADUPS FOTAのバージョンに、他の顧客の要望で実装された迷惑メールと通話の特定機能が手違いによって導入されていたことが判明。Bluからの抗議を受けて直ちにこの機能は無効化したといい、Blu端末から収集したメールや通話記録などの情報は削除したとAdupsは説明している。
Blu Productsによれば「R1 HD」「Energy X Plus 2」「Studio Touch」「Advance 4.0 L2」「Neo XL」「Energy Diamond」の6機種に問題の機能が搭載されていた
「Bluのファームウェアの更新版では迷惑メールや通話の特定が行われていないことを確認するため、AdupsはBluやGoogleと協力してきた」と同社は述べ、パートナーやユーザーに謝罪している。
関連記事
- Android端末のファームウェアに隠し機能、ユーザー情報を中国に送信
米国で販売されていたAndroid端末のファームウェアをセキュリティ企業が調べた結果、SMSの本文や連絡先、通話履歴などの情報が中国のサーバに送信されていたことが分かった。 - ドローンでワーム感染の照明器具を乗っ取り、研究チームが攻撃を実証
オフィスビルに設置された照明器具をドローンから攻撃すると、ビル内の照明が点灯と消灯を繰り返した。 - 大規模DDoS攻撃は防犯カメラが踏み台に、中国メーカーがリコール表明
今回の攻撃では中国のXiongmai製の防犯カメラやIPカメラ多数が踏み台にされていたことが判明。Xiongmaiはリコールを表明すると同時に、報道機関に対する法的措置も辞さない構えを示した。 - 中国企業のAndroidスマホにバックドア、セキュリティ企業が発見
Palo Alto Networksによると、中国のメーカーCoolpadが同国で販売しているスマートフォンの大多数に、バックドアが仕込まれていることが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.