Android端末の情報を中国のサーバに送信、「問題ない」とメーカー反論
米国で販売されているBLU製Androidスマートフォンの一部モデルで、ユーザーの個人情報が許可なく中国のサーバに送信されていると、セキュリティ研究者が報告した。
米国のAmazon.comなどで販売されている米携帯端末メーカーBLU ProductsのAndroidスマートフォンについて、セキュリティ研究者がBlack Hatの発表の中で、ユーザーの個人情報が中国にあるサーバに許可なく送信されていると報告した。報道によると、Amazonはこの発表を受けて問題のスマートフォンの販売を中止。BLUでは「スパイウェアやマルウェアや秘密のソフトウェアは搭載していない」と反論している。
セキュリティ企業Kryptowireの研究者はBlack Hatで7月26日に行った発表の中で、「BLU R1 HD」「BLU Life One X2」などのモデルについて、ユーザーの通話履歴やメッセージの内容、端末の識別情報といった個人情報が、ユーザーの知らないうちに、上海にあるサードパーティーのサーバに送信されていると報告した。
こうした情報の収集には、無線経由(OTA)で更新されるファームウェアが使われており、Shanghai Adups Technologyという企業が管理しているという。
threatpostなどの報道によると、米Amazonはこの報告を受け、「問題が解決されるまで、BLUのスマートフォンは全モデルの販売を中止する」と表明した。
BLUが7月31日に発表したプレスリリースによると、AdupsのOTAアプリケーションについては、2016年11月にKryptowireからの報告によって、一部のBLU製品に搭載されていたバージョンで連絡先やメッセージの内容を収集していることが発覚。BLUはAdupsにこの機能を無効にさせることによって、問題を解決したとしている。以後のデバイスについては、AdupsのOTAアプリケーションをGoogleのGOTAに切り替えたという。
一部の古いデバイスは、依然としてAdups OTAを使っているものの、そのことに問題はないとBLUは強調する。現在行っているデータ収集は、OTAの標準的な機能であり、ユーザーのプライバシーやセキュリティに影響を及ぼすことはないと説明している。
中国のサーバに情報が保存されていることについては、「プライバシーポリシーには、収集したデータの一部が米国外のサーバに保存されることもあると明記しており、中国にサーバがあることには何の問題もない。中国にあるサーバはリスクにさらされるという発言に対してBLUは異議を唱える。そうしたサーバは他の大企業やモバイルメーカーも利用している」と強調した。
【訂正:2017年8月3日13時15分 初出時にBLUが名指しした社名を記載していましたが、記事内容との関係がなく、誤解を招く恐れがあるため削除しました】
関連記事
- Android端末のファームウェアに隠し機能、ユーザー情報を中国に送信
米国で販売されていたAndroid端末のファームウェアをセキュリティ企業が調べた結果、SMSの本文や連絡先、通話履歴などの情報が中国のサーバに送信されていたことが分かった。 - 中国ADUPS製ファームウェアのセキュリティ問題、日本向けスマホに影響なし
ADUPS製のファームウェアを搭載するBLU ProductsのAndroid端末で誤ってユーザー情報が送信されていた問題で、他の端末メーカーへの影響も懸念されていた。 - ユーザー情報の収集は「手違い」、中国企業が経緯を説明
“他の顧客の要望”で実装された迷惑メールと通話の特定機能が、手違いによって米国で販売されていた一部のBlu Products製端末に導入されたという。 - Android向けファームウェアに深刻な脆弱性、米機関は「もはやrootkit」と断言
脆弱性はOTAによるアップデート時に暗号化通信が行われないというものだが、実行を隠す複数の方法が使用され、CERT/CCは「挙動はもはやrootkitだ」と指摘している。 - 中国企業のAndroidスマホにバックドア、セキュリティ企業が発見
Palo Alto Networksによると、中国のメーカーCoolpadが同国で販売しているスマートフォンの大多数に、バックドアが仕込まれていることが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.