17/08/06 14:58:44.75
★米Amazonが米BLU製格安スマホを販売停止、ユーザー情報を中国へ送信
Amazon.comが2017年7月31日(米国時間)までに、米BLU Products製のAndroidスマートフォンの
販売を停止した。BLU製スマホが採用するファームウエアがユーザーの個人情報を中国のサーバーに
無断で送信していたことが分かったため。BLU製スマホは日本でもソフトバンク コマース&サービスが販売している。
BLU製スマホが採用する中国Shanghai Adups Technology(以下Adups)製のファームウエアには、
ユーザーが入力したテキストメッセージの全文やアドレス帳の内容、電話履歴、電話番号、
IMSI(International Mobile Subscriber Identity)やIMEI(International Mobile Equipment Identity
)といった個体識別情報を中国のサーバーに無断で送信するという問題があった。
このようなプライバシー問題がBLU製スマホ「BLU R1 HD」に存在することは、米国のセキュリティベンダー
であるKryptowireが2016年11月に発表していた。BLUはこの問題を取り除いたとしていたが、
Kryptowireは2017年7月26日(米国時間)に米ラスベガスで開催された「Black Hat 2017」の講演で、
BLU製スマホには依然として同種の問題が残っていることを指摘した(発表内容)。
これを米メディアの「CNET」などが報道したことから問題が再燃し、Amazonは7月31日までに
BLU製スマホの販売を停止した(写真)。
写真●米Amazon.comにおけるBLU製スマホの販売ページ
URLリンク(itpro.nikkeibp.co.jp)
Adupsのファームウエアは、ファームウエアをネットワーク経由で更新する
「FOTA(Firmware Over the Air)アップデート」という仕組みを搭載しているが、
FOTAアップデートを実現するために同社は、Androidスマホを外部のサーバーから
HTTP経由でコントロールする仕組みを実装していた。このコントロールコマンドの中に、
テキストメッセージを取得するコマンドなどが存在していた。テキストメッセージをキーワード検索して、
特定のキーワードに合致する内容だけを収集するという機能まで搭載されていたという。
またコマンドをHTTP経由で送受信しているため、ネットワーク途中でコマンドが改変される
というセキュリティ上の問題も抱えていた。
AmazonはBLU製スマホのBLU R1 HDを、「Amazon Prime」会員に限定して65ドルという
低価格で販売していた。そのためBLU R1 HDは、Amazonで最も販売台数の多いアンロック
(SIMカードロックの無い)Androidスマホになったこともあった。Amazonは現在、BLU製スマホを
全て販売停止にしている。
(以下リンク先で読んでください)
URLリンク(itpro.nikkeibp.co.jp)