BLU製スマホ「GRAND M」にスパイウェアが混入!個人情報が中国へ送信

アメリカ国防高等研究計画局(Defense Advanced Research Projects Agency;DARPA)から派生し、アメリカの軍隊や捜査当局向けのモバイルセキュリティーツールを開発するKryptowireは26日(現地時間)、セキュリティー関連イベント「Black Hat USA 2017」にて同社が2016年11月に報告していたBLU Products製スマートフォン(スマホ)におけるスパイウェア混入の問題においてまだデータを中国・上海にあるサーバーに送信していることを明らかにしました。

この問題は日本でもSIMフリースマホとして最近発売されたBLU Productsの「BLU R1 HD」にスパイウェアが混入されており、原因となったShanghai Adups Technologyが開発したファームウェアについては該当機能を削除し、ソフトウェア更新を行うことで問題は解決していると案内していました。

しかしながら、Kryptowireが検証を続けた結果、日本で発売された「BLU GRAND M」を含めたBLU Productsの他の製品にも同様のスパイウェアが混入されており、現在も個人情報を勝手に中国へ送信しているということです。なお、日本向けに販売されている製品にも混入しているかどうかは販売元に確認中です。

02
BLU GRAND M

BLU Productsの製品が個人情報を勝手に送信しているということは2016年11月にKryptowireが発表しました。原因は、BLU Productsの該当製品に採用されているShanghai Adups Technologyが開発したファームウェアにあると案内されました。

このファームウェアは適切に情報配信できているか確認するため、広告をはじめとする迷惑メールおよびユーザーの連絡先にない迷惑電話番号に対するユーザーエクスペリエンス(UX)を向上させるために実装されたものであると説明。

Kryptowireの発表を受けて、Shanghai Adups TechnologyではBLU Productsの製品向けにソフトウェア更新を提供し、該当機能の削除を行い、問題は解決したと案内していました。

その後、Kryptowireが追試を行った結果、懸念は払拭されたことが確認できました。事態は沈静化されたように思えましたが、Kryptowireが継続して検証を行なったところ、他にも個人情報を勝手に中国のサーバーへ送信しているBLU Productsの製品が新たに確認されてしまったということです。

それらの中には日本でも発売されているBLU GRAND Mも含まれており、個人情報を勝手に送信するスパイウェアが混入されているということです。Kryptowireの研究員を務めるRyan Johnson氏は「デバイスの利用者に確認を取ることなく、バックグランドで上海のサーバーに個人情報を送信していることが確認できた」としています。

03
Black Hatの様子

このスパイウェアを実行させるために、デバイスの制御やコマンドを実行できるようにしているのですが、これにより不正なアプリを勝手にインストールさせたり、スクリーンショットを勝手に撮影したり、画面を勝手に録画したり、勝手に初期化することができてしまうとのこと。

さらに個人情報を勝手に送信するスパイウェアのほか、MediaTek製のチップセットが搭載されたデバイスにインストールされている「MTKLogger」の古いバージョンの脆弱性が利用される可能性があることも確認されました。

この脆弱性を利用すると、閲覧履歴やGPSデータなどの個人情報に不正にアクセスすることができるということです。幸いにして、まだこの脆弱性を悪用したアプリは確認されていないようですが、さらなるリスクを孕んでいることが明らかとなりました。

メーカーが利用者の個人情報を盗み出すスパイウェアを製造段階で混入させるなど言語道断で、メーカーが利用者のプライバシーを保護することを蔑ろにしているのではないかという懸念さえを引き起こします。

2016年11月の前例を踏まえると、今回の問題についてもアップデートで解決してくると思われますが、前例が誤って実装してしまったということもあるだけに本当に修正されるのか、他のShanghai Adups Technologyのファームウェアを採用した製品は大丈夫なのかといった疑惑の念を抱かざるを得ません。

なお、Shanghai Adups TechnologyのファームウェアはファームウェアやZTEなどの多くのメーカーが採用しており、出荷台数は2016年11月の問題の時点でも7億台以上に上ると試算されています。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
These cheap phones come at a price -- your privacy - CNET
KRYPTOWIRE DISCOVERS MOBILE PHONE FIRMWARE THAT TRANSMITTED PERSONALLY IDENTIFIABLE INFORMATION (PII) WITHOUT USER CONSENT OR DISCLOSURE
Black Hat USA 2017 | Ryan Johnson
广升FOTA-全球领先的FOTA技术解决方案