米Amazon.comが2017年7月31日(米国時間)までに、米BLU Products製のAndroidスマートフォンの販売を停止
BLU製スマホが採用するファームウエアがユーザーの個人情報を中国のサーバーに無断で送信していた
ユーザーが入力したテキストメッセージの全文やアドレス帳の内容、電話履歴、電話番号、IMSI(International Mobile Subscriber Identity)やIMEI(International Mobile Equipment Identity)といった個体識別情報を中国のサーバーに無断で送信する
Adupsのファームウエアは
テキストメッセージをキーワード検索して、特定のキーワードに合致する内容だけを収集するという機能まで搭載BLUというメーカーをこのニュースで初めて聞いたのですが、アメリカ合衆国フロリダ州マイアミに本社を置く会社なんですね(Wikipedia)。 ニュースの流れから中国系の格安スマホメーカーだと思いこんでました(汗)。 BLUは2015年に米国シェアNo.1を獲得した携帯端末メーカーだそうです。 BLU製のスマホは日本ではソフトバンクが取り扱っています
で、この件、悪さ(?)をしてるのはAdupsのファームウエア(検索)とのこと。 このファームウェアを採用している端末はすべて同じ問題があるようです。 HuaweiやZTEのスマホにも採用されているとのこと。 ただ日本向けに発売されている端末には採用されていないようです。
■ 中国ADUPS製ファームウェアのセキュリティ問題、日本向けスマホに影響なし - ITmedia エンタープライズ
ファーウェイ・ジャパンは、「日本で提供している製品ではADUPSを採用しておらず、影響はありません
ZTEジャパンも、「徹底した調査を行った結果、日本で販売されている製品に報道で指摘された問題は該当しないことが確認できています
■ Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信 ~米セキュリティサービス会社が解析、メーカーの“うっかり実装” - PC Watch
米国防高等研究計画局(DARPA)から分離したセキュリティ解析ツール提供会社、米Kryptowireは15日(現地時間)、Shanghai ADUPS Technologyが開発したファームウェアを採用した中国製スマートフォンにバックドアが仕組まれていると発表
ADUPSのファームウェアはこのほかにもHuaweiやZTEといったメーカーが採用し、出荷数は7億台に上ると試算しており、潜在的に問題は存在する
検索してたら自力で対策している猛者を発見。 凄っ!
■ ADUPS製ファームウェア採用スマホのバックドア対策 - おっさんの覚え書き
Kryptowire(米国のセキュリティベンダー)がこの問題を去年(2016年)11月に指摘、BLUはADUPSに抗議し、すぐに対応したらしいのですが、依然として同様の問題があると2017年7月26日にKryptowireが発表。 それを受けて、米Amazonは米BLU製スマホの販売を停止したようです。
※Kryptowireは米軍や捜査当局向けのモバイルセキュリティツールを手掛ける企業
■ Android端末の情報を中国のサーバに送信、「問題ない」とメーカー反論 - ITmedia エンタープライズ
BLUでは「スパイウェアやマルウェアや秘密のソフトウェアは搭載していない」と反論
BLUはAdupsにこの機能を無効にさせることによって、問題を解決したとしている。以後のデバイスについては、AdupsのOTAアプリケーションをGoogleのGOTAに切り替えたという
中国のサーバに情報が保存されていることについては、「プライバシーポリシーには、収集したデータの一部が米国外のサーバに保存されることもあると明記しており、中国にサーバがあることには何の問題もない。中国にあるサーバはリスクにさらされるという発言に対してBLUは異議を唱える。そうしたサーバは他の大企業やHuaweiやZTEなどのモバイルメーカーも利用している」と強調
BLUは反論しているようですが・・・どーなんでしょうか。
関連記事
■ 百度(バイドゥ)が提供するソフトウェア開発キット「Moplus」にバックドア機能が仕込まれていて炎上。 ~1億人の Androidユーザに影響か
■ 2010年以前に製造されたPCをお使いのかたはお気をつけくださいませ的な脆弱性が発見される
■ Windows 8 ~ 10 を使っているユーザーはMicrosoft純正のウイルス対策ソフト「Windows Defender」を使うべき?
■ Conexant社のオーディオドライバーを搭載した HP 製 パソコン からキーロガー(スパイウェア)が見つかる
■ Windows 版 QuickTime はアンインストール推奨 ~脆弱性放置でサポート終了しているため
