miracy(ミラシー)

ようこそmiracy.netへ。iPhoneをはじめとしたガジェットからアプリ、VR、自動運転に至るまで未来の技術を紹介いたします。


米国で販売されたAndroidスマホが中国に個人情報を漏洩 メーカー「中国向けの機能が誤って米国版にインストールされていた」

f:id:miracy:20161117222426j:plain

中国向けの機能・・・ってことは中国版だったら仕様ってこと? 米モバイルセキュリティ企業のKryptowireは米国で販売された一部の低価格スマートフォンのファームウェアに中国サーバーにユーザーのテキストメッセージ、ユーザーの位置情報、通話履歴などを送信する機能が組み込まれていることを発見しました。

リモートのコマンド実行から位置情報の送信まで可能だった!

The Vergeによれば、個人情報は72時間ごとに中国のサーバーに送信されているとのこと。また、この機能が監視目的なのか、広告のための情報収集なのかは不明で、恐ろしいことに端末のインストールアプリの情報収集から、リモートからのコマンド実行などなんでもできるようです。また、ファームウェアのアップデートによって意図しないアプリのインストールや位置情報の追跡も可能だったとしています。

www.theverge.com

このファームウェアが搭載されたのは米アマゾンなどで販売されるBLU製端末の以下の製品

このファームウェアを搭載していた端末は以下の通りで、すべてBLU製のR1 HD、Energy X Plus 2、Studio Touch、Advance 4.0 L2、Neo XL、Energy Diamondの5機種となります。

日本国内では出回っていないメーカーですので、その点は安心です。ちなみにBLUは既に製品アップデートを行い、すぐにこれらの機能を削除を行ったとのこと。これらの製品はKryptowireのテストをクリアしているほか、GoogleとBLU両方の承認を得ているようです。

このファームウェア管理会社は中国企業で、ZTEなど多くのメーカーが採用している

この監視はファームウェアをインターネットで管理するFirmware Over The Air(FOTA)と呼ばれる機能を使用して行われ、Shanghai Adups Technologyという中国企業が管理を行っていました。Shanghai Adups Technologyは世界150か国に拠点をもち、公称7億人が利用しているとしている。また、ITmediaによれば

Shanghai Adups TechnologyのWebサイトには、同社のファームウェアが、ZTEやHuaweiをはじめとする大手メーカー、携帯電話会社、半導体メーカーなど400社以上の製品に採用され、幅広いウェアラブル端末やモバイル端末、自動車、テレビなどに組み込まれている旨が記載されていた。

引用元:Android端末のファームウェアに隠し機能、ユーザー情報を中国に送信 - ITmedia エンタープライズ

としており、自動車に至るまであらゆる電化製品のファームウェアを管理している会社のようです。もしかしたら身近な電化製品もShanghai Adupsがファームウェアを管理しているかも・・・。

 

しかしながら、今のところは格安スマートフォン企業であるBLUの12,000台のスマートフォンへの搭載が発覚しているのみです。BLUの対応も早く、

BLUは報道を受けて、ただちに声明を発表、製品から当該アプリの削除を行うとともに、すでに「R1 HD」や「Energy X Plus 2」といった対象スマートフォンを手にしたユーザーにもアンインストールを推奨しています。

引用元:恐怖!格安Androidスマホの罠~中国へ個人情報を定期的に無断送信 - iPhone Mania

 

Shanghai Adups Technologyは中国向けの機能が誤って米国版にインストールされたと釈明

The Vergeによれば、この件に関する、Shanghai Adups Technologyの釈明は以下の通り。

「2016年6月に、いくつかのBLU Products製スマートフォンにAdupsのファームウェアアプリケーションを適用した際、うっかり他のAdupsクライアントのリクエストで端末から個人情報を引き出すことができるようになってしまいました。BLU ProductsがAdupsのソフトウェアに異議を唱えてきた際、我々は即座にソフトウェアを端末から削除しました」

引用元:Android搭載スマホがユーザーデータを密かに中国へ送信していることが発覚 - GIGAZINE

 

他のクライアントのリクエスト・・・とのことですがいったいこんな監視機能を付けようとするのはどこなのか気になるところです。ちなみにこの件について中国政府は関与を否定しているようです。

 

それにしてもファームウェアというスマートフォンの基になる部分にこういった監視機能が搭載されていたのは何とも気味の悪い話です。また、このShanghai Adups Technologyという企業が意外にも大きい企業で公称ではあるにせよ全世界で7億人が使用しているという事実には、少し不安を覚えます。

 

これはAndroidの一部の端末でのニュースではありますが、Appleのようにハードウェアからソフトウェアまで一つの企業で作り上げるというスタンスはセキュリティの面からみても秀でているのかもしれませんね。

スマートフォンはユーザーと密接で、多くの個人情報を含んでいますので、メーカーには信頼できる製品作りを徹底してもらいたいです。

f:id:miracy:20161118003124j:plain