記事
  • S-MAX

日本でも販売されている格安スマホ「BLU GRAND M」にもスパイウェアが混入!使用者の個人情報が中国へ送信されているとBlack HatでKryptowireが明らかに



BLU製スマホ「GRAND M」にスパイウェアが混入!個人情報が中国へ送信

アメリカ国防高等研究計画局(Defense Advanced Research Projects Agency;DARPA)から派生し、アメリカの軍隊や捜査当局向けのモバイルセキュリティーツールを開発するKryptowireは26日(現地時間)、セキュリティー関連イベント「Black Hat USA 2017」にて同社が2016年11月に報告していたBLU Products製スマートフォン(スマホ)におけるスパイウェア混入の問題においてまだデータを中国・上海にあるサーバーに送信していることを明らかにしました。

この問題は日本でもSIMフリースマホとして最近発売されたBLU Productsの「BLU R1 HD」にスパイウェアが混入されており、原因となったShanghai Adups Technologyが開発したファームウェアについては該当機能を削除し、ソフトウェア更新を行うことで問題は解決していると案内していました。

しかしながら、Kryptowireが検証を続けた結果、日本で発売された「BLU GRAND M」を含めたBLU Productsの他の製品にも同様のスパイウェアが混入されており、現在も個人情報を勝手に中国へ送信しているということです。なお、日本向けに販売されている製品にも混入しているかどうかは販売元に確認中です。

02
BLU GRAND M

BLU Productsの製品が個人情報を勝手に送信しているということは2016年11月にKryptowireが発表しました。原因は、BLU Productsの該当製品に採用されているShanghai Adups Technologyが開発したファームウェアにあると案内されました。

このファームウェアは適切に情報配信できているか確認するため、広告をはじめとする迷惑メールおよびユーザーの連絡先にない迷惑電話番号に対するユーザーエクスペリエンス(UX)を向上させるために実装されたものであると説明。

Kryptowireの発表を受けて、Shanghai Adups TechnologyではBLU Productsの製品向けにソフトウェア更新を提供し、該当機能の削除を行い、問題は解決したと案内していました。

その後、Kryptowireが追試を行った結果、懸念は払拭されたことが確認できました。事態は沈静化されたように思えましたが、Kryptowireが継続して検証を行なったところ、他にも個人情報を勝手に中国のサーバーへ送信しているBLU Productsの製品が新たに確認されてしまったということです。

それらの中には日本でも発売されているBLU GRAND Mも含まれており、個人情報を勝手に送信するスパイウェアが混入されているということです。Kryptowireの研究員を務めるRyan Johnson氏は「デバイスの利用者に確認を取ることなく、バックグランドで上海のサーバーに個人情報を送信していることが確認できた」としています。

03
Black Hatの様子

このスパイウェアを実行させるために、デバイスの制御やコマンドを実行できるようにしているのですが、これにより不正なアプリを勝手にインストールさせたり、スクリーンショットを勝手に撮影したり、画面を勝手に録画したり、勝手に初期化することができてしまうとのこと。

さらに個人情報を勝手に送信するスパイウェアのほか、MediaTek製のチップセットが搭載されたデバイスにインストールされている「MTKLogger」の古いバージョンの脆弱性が利用される可能性があることも確認されました。

この脆弱性を利用すると、閲覧履歴やGPSデータなどの個人情報に不正にアクセスすることができるということです。幸いにして、まだこの脆弱性を悪用したアプリは確認されていないようですが、さらなるリスクを孕んでいることが明らかとなりました。

メーカーが利用者の個人情報を盗み出すスパイウェアを製造段階で混入させるなど言語道断で、メーカーが利用者のプライバシーを保護することを蔑ろにしているのではないかという懸念さえを引き起こします。

2016年11月の前例を踏まえると、今回の問題についてもアップデートで解決してくると思われますが、前例が誤って実装してしまったということもあるだけに本当に修正されるのか、他のShanghai Adups Technologyのファームウェアを採用した製品は大丈夫なのかといった疑惑の念を抱かざるを得ません。

なお、Shanghai Adups TechnologyのファームウェアはファームウェアやZTEなどの多くのメーカーが採用しており、出荷台数は2016年11月の問題の時点でも7億台以上に上ると試算されています。

記事執筆:YUKITO KATO


あわせて読みたい

「スマートフォン」の記事一覧へ

トピックス

ランキング

  1. 1

    未だにコンビニ現金払いはバカ?

    Hayato Ikeda

  2. 2

    韓国の都合に合わせるのはやめよ

    深谷隆司

  3. 3

    読売1面「首相3選望まず」の衝撃

    NEWSポストセブン

  4. 4

    本当の富裕層 振る舞いに共通点

    PRESIDENT Online

  5. 5

    ロシア人の4割は酒を一切飲まず

    ロシアNOW

  6. 6

    戦争を招くウーマン村本の価値観

    自由人

  7. 7

    安倍首相 広島長崎で手抜き挨拶

    NEWSポストセブン

  8. 8

    乃木坂46に学ぶ副業許可のヒント

    シェアーズカフェ・オンライン

  9. 9

    小池氏に半生を狂わされた人たち

    文春オンライン

  10. 10

    高校野球「無気力」采配の真相

    NEWSポストセブン

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。