セキュリティ解析ツールを提供するアメリカの「Kyrptowire」が、上海ADUPSが開発したファームウェアを採用したスマートフォンは、ユーザーの設定や意図などとは関係なく、中国国内に個人情報を送信ソフトウェアが入っていると発表しました。
そのスパイウェアが組み込まれている端末は、世界で流通しているAndroid端末、約7億台のにのぼるとみられています。

目次

• 専門家レベルでないと気づけないソフトウェア
• 上海ADUPSは声明で、正当性と誤りを発表
• まとめ

専門家レベルでないと気づけないソフトウェア

ファームウエアは、スマートフォンの内部深くに搭載されているソフトウエアで、その中に個人情報を72時間ごとに中国国内のサーバーに送信するソフトウェア入れ込んでいたようで、一般のユーザーは気づくことがほぼ不可能だと思います。
今回発見したのは、スパイウェアが仕込まれたスマホを購入したKryptowireの会社員の1人だそうです。
その後、Kryptowireの調査で、アメリカで人気のBLU Productsや中国ブランドのHuaweiやZTEなどに同様のソフトウェアが入っていて、その総台数は世界で約7億台との試算を出しました。

Huaweiなどは日本国内でも流通しているので、不安ですね。

上海ADUPSは声明で、正当性と誤りを発表

Androidスマホの情報は上海ADUPSの中国国内のサーバーに送信されていました。
テキストメッセージ、ユーザーの位置情報、通話履歴などが72時間ごとに送信されていました。
Kryptowireの発表、指摘を受け、上海ADUPSは、ADUPS製ファームウェアでは、モデル情報、デバイスの状態、アプリケーションの情報、bin/xbinの情報、およびさまざまな情報を収集していることを認めました。
しかしこれらは正しいアップデートとサービスが正しいデバイスに対して提供していることを確認するためと主張しています。
転送の際に関して複数の暗号化を施し、データの安全性確保を企業設立時から、ユーザーのプライバシーに関して厳重に保護してきたそうです。
また、テキストメッセージや通話履歴を収集していたのは、広告をはじめとする迷惑メール、およびユーザーの連絡先にない迷惑電話番号で、ユーザー体験を向上させる目的としたものだとしています。

アメリカのBLU製品については、他の顧客向けに開発された自動アップデートが「意図せずに」インストールされてしまったが、BLU側の苦情を受けて既に無効化したと説明しました。

しかし、ファームウェアには遠隔操作によりスマートフォン上でコマンドを実行したり、プログラムを書き換えたりする機能が備わっていたと言われており、モバイル端末製造企業が自社製品から密かに個人情報を収集し、商業的理由やスパイ活動などに利用する可能性を改めて懸念する声があがっています。

まとめ

日本国内で該当の端末が発見されたという情報は見つかりませんでしたが、日本国内でも流通している可能性はあると思います。
アメリカのBLU Productsはすぐに修正用のソフトウェアを配信したようですが、HuaweiとZTEは取材を断ったそうですので、何かすっきりしない感じですね。
集められた情報が悪用されていないことを願うばかりです。