Shanghai ADUPS Android firmware on backdoor

セキュリティ解析ツールを提供する米 Kryptowire は、中国 ADUPS が開発した Android スマートフォンのファームウェアに、個人情報を許可なく収集し中国のサーバーへ送信するバックドア機能が搭載されていると発表。特定メーカーの端末が該当。（情報更新）

■ 許可なく外部送信されていた情報のリスト

※ 2011年に問題となった Carrier IQ と比較されています。

■ 収集されていた情報
通話履歴、電話帳（連絡先）、位置情報、SMS テキストメッセージなど。

■ 中国サーバーに情報送信
Kryptowire はモバイル関連のセキュリティツールを提供している米国企業です。2016年11月15日、Kryptowire は米国で SIM ロックフリースマートフォンを販売している BLU などでも一部採用されている、中国 ADUPS が開発した Android スマートフォンのファームウェアに、72時間毎に電話帳や通話履歴、SMS の送信内容などの個人情報を中国のサーバーへ許可なく送信する機能（バックドア）が搭載されていたと発表。

■ 米 BLU スマートフォンが一部該当
尚、今回発覚した ADUPS 問題のあるファームウェアは、米国で SIM ロックフリー Android スマートフォンを販売している BLU のスマートフォン6機種が該当。BLU では急遽、データ収集を無効化するセキュリティ（ソフトウェア）パッチを用意。「Security Concern (セキュリティ上の懸念）」という特設ページにて、データ収集を無効化する方法を説明しています。

■ BLU 問題ファームウェア搭載機種

• R1 HD
• Energy X Plus 2
• Studio Touch
• Advance 4.0 L2
• Neo XL
• Energy Diamond

■ ADUPS に関して
Shanghai ADUPS Technology (上海广升信息技术股份) は中国大手のファームウェアを開発する企業です。現時点では BLU 製品のみが対象機種として上げられていますが、今後影響のある端末が出てくる可能性があります。2011年に問題となった Carrier IQ と比較されている事からメーカーがユーザー改善のために行っている可能性もありますが、明らかに不要なデータの収集となっているため、今後改善が行われるか説明があるかもしれません。

■ 追加情報 2016年11月20日
ADUPS が今回の件に関して公式の見解「STATEMENT」を発表。中国サーバーへの個人情報送信は、迷惑メールや電話などを判断し仕分けていたとしています。個人情報以外にも端末情報を収集することで FOTA (Firmware Over-The-Air) アップデートなどを適切に提供できるようにしていたとの事。また、データの送信に関して HTTPS による多重暗号化を行い、第三者に取得されないよ対策を行い安全面では問題ないとしています。同社ではユーザープライバシーを非常に重視しており、騒動になっている機能は、ユーザー側から要望のあった（迷惑メールなど）問題を解決するために必要だったとしています。

ADUPS の発表を見ると、ユーザー要望からこれらの情報収集機能などを搭載したとしているため、削除の可能性は低いかもしれません。ただ、世界的に注目されている事項なので改善または修正が行われる可能性あはります。同社は2012年に設立、既に4年以上経営され大手と呼ばれる規模にまで成長しているため、今回の見解を受け入れられるどうかメーカーにより判断が分かれそうです。

Detect firmware collecting information without permission – Kryptowire
http://www.kryptowire.com/adups_security_analysis.html

Security Concern – BLU
http://bluproducts.com/security/