中国 ADUPS 開発の Android スマートフォンファームウェアに個人情報を外部サーバーへ送信する機能、セキュリティ会社が警告

Filed in Topic - トピック 16 comments

Shanghai ADUPS Android firmware on backdoor

セキュリティ解析ツールを提供する米 Kryptowire は、中国 ADUPS が開発した Android スマートフォンのファームウェアに、個人情報を許可なく収集し中国のサーバーへ送信するバックドア機能が搭載されていると発表。特定メーカーの端末が該当。(情報更新)

■ 許可なく外部送信されていた情報のリスト

※ 2011年に問題となった Carrier IQ と比較されています。

■ 収集されていた情報
通話履歴、電話帳(連絡先)、位置情報、SMS テキストメッセージなど。

■ 中国サーバーに情報送信
Kryptowire はモバイル関連のセキュリティツールを提供している米国企業です。2016年11月15日、Kryptowire は米国で SIM ロックフリースマートフォンを販売している BLU などでも一部採用されている、中国 ADUPS が開発した Android スマートフォンのファームウェアに、72時間毎に電話帳や通話履歴、SMS の送信内容などの個人情報を中国のサーバーへ許可なく送信する機能(バックドア)が搭載されていたと発表。

■ 米 BLU スマートフォンが一部該当
尚、今回発覚した ADUPS 問題のあるファームウェアは、米国で SIM ロックフリー Android スマートフォンを販売している BLU のスマートフォン6機種が該当。BLU では急遽、データ収集を無効化するセキュリティ(ソフトウェア)パッチを用意。「Security Concern (セキュリティ上の懸念)」という特設ページにて、データ収集を無効化する方法を説明しています。

■ BLU 問題ファームウェア搭載機種

  • R1 HD
  • Energy X Plus 2
  • Studio Touch
  • Advance 4.0 L2
  • Neo XL
  • Energy Diamond

■ ADUPS に関して
Shanghai ADUPS Technology (上海广升信息技术股份) は中国大手のファームウェアを開発する企業です。現時点では BLU 製品のみが対象機種として上げられていますが、今後影響のある端末が出てくる可能性があります。2011年に問題となった Carrier IQ と比較されている事からメーカーがユーザー改善のために行っている可能性もありますが、明らかに不要なデータの収集となっているため、今後改善が行われるか説明があるかもしれません。

■ 追加情報 2016年11月20日
ADUPS が今回の件に関して公式の見解「STATEMENT」を発表。中国サーバーへの個人情報送信は、迷惑メールや電話などを判断し仕分けていたとしています。個人情報以外にも端末情報を収集することで FOTA (Firmware Over-The-Air) アップデートなどを適切に提供できるようにしていたとの事。また、データの送信に関して HTTPS による多重暗号化を行い、第三者に取得されないよ対策を行い安全面では問題ないとしています。同社ではユーザープライバシーを非常に重視しており、騒動になっている機能は、ユーザー側から要望のあった(迷惑メールなど)問題を解決するために必要だったとしています。

ADUPS の発表を見ると、ユーザー要望からこれらの情報収集機能などを搭載したとしているため、削除の可能性は低いかもしれません。ただ、世界的に注目されている事項なので改善または修正が行われる可能性あはります。同社は2012年に設立、既に4年以上経営され大手と呼ばれる規模にまで成長しているため、今回の見解を受け入れられるどうかメーカーにより判断が分かれそうです。

Detect firmware collecting information without permission – Kryptowire
http://www.kryptowire.com/adups_security_analysis.html

Security Concern – BLU
http://bluproducts.com/security/




Posted by GPad   @   2016年11月20日 日曜日 16 comments
Tags : , ,

16 Comments

Comments
11月 16, 2016
15:43
#1 匿名 :

Carrier IQって2011年かースマートフォンが増え始めてきたころだね。Carrier IQはユーザー改善のためと公式の発表があって削除されることはなかったんだっけか。

中華スマホの場合はメーカーというより国主導でやってそうで怖いw中国のどこに設置されているサーバーなのかな?あれ、誰か来たみたいだ…

11月 16, 2016
16:20
#2 匿名 :

チャイナリスクかー(;´∀`)

11月 16, 2016
17:27
#3 匿名 :

Xperiaでもあったよね。日本向けにはインストールされていないMy Xperiaってアプリが中国の百度サーバーに情報を垂れ流していたってね。
後にソニーは釈明してたけど、それは暗に認めたってことだからね。
まぁ、ソニーの元社長が百度日本法人の取締役にいるってだけでも中国とベッタリなのは分かるけど。

11月 16, 2016
17:47
#4 匿名 :

中国と米国は関係がギクシャクしてるから、イマイチ情報に信用性を持てないなぁ…

11月 16, 2016
19:35
#5 匿名 :

#3
Note7リコール騒ぎの時もそうだったが、何かにつけてsonyもー、をやるのね
しかも自分の都合の良いように誇張したり捻じ曲げる、トンデモ解釈…

11月 16, 2016
20:20
#6 匿名 :

どこが都合の良いように誇張したり捻じ曲げる、トンデモ解釈なのか伺いたいものだ。
強ち間違ってはいないと思うが。
それに元ソニー社長の出井伸之氏が百度の取締役に就任しているのも事実だしな。

11月 16, 2016
21:02
#7 匿名 :

出井伸之氏はSONYの会長もやってたよね。

情弱ほど強い者はないよ。

11月 17, 2016
00:04
#8 匿名 :

2012年頃からPCにバックドアやらキーロガーやら、アプリが勝手に通信だのでずうっといろいろ言われていたのに、どういうわけかすぐに騒動が沈静化したり話をそらそうとする人が出てくる中華電子機器の…

ん?こんな時間に誰か来た。

11月 17, 2016
06:59
#9 匿名 :

SONYはどうか微妙にしてもやっぱり中華スマホには多少リスクあるんだよな
華為なりLenovoあたりも黒の可能性あるし

11月 17, 2016
07:32
#10 匿名 :

レノボは既に何回かやらかしてますね(;´∀`)

11月 17, 2016
22:38
#11 匿名 :

何でもソニー(含む日本企業)に結びつける姿勢は否定しないのね。
トンデモ解釈って言われるのは、むしろその点でしょ。

11月 18, 2016
01:27
#12 匿名 :

ほんとにBLUの製品だけなんですかね

11月 20, 2016
20:32
#13 匿名 :

事実じゃん。必死に擁護したいんだろうね。

11月 21, 2016
19:45
#14 匿名 :

#13
はてさて、どっちに対して言っているのやら。

11月 22, 2016
15:43
#15 匿名 :

自分の考えが絶対だと盲信して人にはつける薬はないんですよ
そして概して親の仇のように敵視する彼の国の人にそっくりである

12月 5, 2016
16:16
#16 匿名 :

>何でもソニー(含む日本企業)に結びつける姿勢は否定しないのね。

>そして概して親の仇のように敵視する彼の国の人にそっくりである

誰も日本企業の話なんかしてないし、何でもかんでも敵視するだの彼の国だのと言ってくるあたり、富士通太郎っぽい書き込みですなぁ。

Leave a Comment

名前 (Name) が空欄だと「匿名」になり、コメント反映に時間がかかります。名前を入れると投稿後もコメントの編集や削除が可能です。Email は入力しても表示されません。コメントは1度の投稿で【300文字】までとなります。

Previous Post
«
Next Post
»