2017年8月1日午後2時20分(太平洋時間)更新:この記事の公開後、Blu社はコメント要請に対し、以下のように回答しました。「2016年11月にKryptowire社からプライバシーに関する最初の懸念が報告され、BLU社が迅速に対応して以来、Amazon社はBLU社製デバイスに搭載されているAdupsやその他のアプリケーションを認識しており、当時、BLU社、Amazon社、Kryptowire社は、これらのアプリケーションがセキュリティやプライバシーのリスクをもたらすことはないと判断していました。それからほぼ1年が経ちましたが、デバイスは依然として全く同じ動作をしており、セキュリティやプライバシーのリスクを及ぼさない標準的な基本的なデータ収集を行っています。当社のデバイスにおいて、懸念を引き起こすような新たな動作や変更は一切ありません。Amazon社にはこの状況を理解し、速やかにデバイスの販売を再開することを期待しています。」
スマートフォンは高価です。米国では、消費者には3つの選択肢しかありません。数百ドルを自己負担するか、ワイヤレスネットワークプロバイダーと契約するか、それとも高額な費用をかけずに済むものを探すかです。しかし、セキュリティ企業Kryptowireによると、最後の選択肢を選ぶ人は、知らず知らずのうちに個人情報を漏らしてしまう可能性があるとのことです。
そして、Amazonはそれを容認するつもりはないようだ。このオンライン小売業者は、フロリダに拠点を置くBlu社製の端末をオンラインストアから撤去した。「最近、Amazon.comで販売されているBLU社製携帯電話の一部に潜在的なセキュリティ問題があることが判明しました」と、同社の広報担当者はTom's Hardware誌に語った。「お客様のセキュリティとプライバシーは最優先事項であるため、問題が解決されるまで、BLU社製携帯電話の全モデルをAmazon.comで購入できません。詳細については、BLU Productsカスタマーサービス(1-877-602-8762または[email protected])までお問い合わせください。」
Bluの携帯電話はBest BuyやNeweggなど他の小売店ではまだ入手できるが、Amazonの店頭から消えれば同社にとって壊滅的な打撃となる可能性がある。
問題はここにあります。Kryptowireは2016年11月、複数のAndroidスマートフォンモデルにおいて、「テキストメッセージの全文、連絡先リスト、電話番号を含む通話履歴、国際移動体加入者識別番号(IMSI)や国際移動体機器識別番号(IMEI)などのデバイス固有識別子を含む、ユーザーとデバイスの情報を能動的に送信する」モバイルファームウェアを発見したと発表しました。
それは氷山の一角に過ぎなかった。Kryptowireは次のように説明した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
このファームウェアは、特定のユーザーや、リモートで定義されたキーワードに一致するテキストメッセージを標的とすることができました。また、監視対象デバイスにインストールされているアプリケーションの使用状況に関する情報を収集・送信し、Androidの権限モデルを回避し、昇格された(システム)権限でリモートコマンドを実行し、リモートでデバイスを再プログラムすることができました。モバイルデバイスに同梱されていたファームウェアとその後のアップデートにより、ユーザーの同意なしにアプリケーションをリモートインストールすることが可能になり、一部のバージョンでは、デバイスの詳細な位置情報の送信も可能になりました。
先週のBlack Hatカンファレンスで、Kryptowireは、このファームウェアが一部デバイスに依然として存在していることを明らかにしました。しかし今回は、データ収集方法がはるかに分かりにくいものでした。これは、このファームウェアの開発元であるAdupsが、個人情報を故意に許可なく収集し、自社のファームウェアを使用するメーカーからデータ収集を隠蔽しようとしたことを示唆しています。Bluは一部のスマートフォンでこのファームウェアを依然として使用しているため、Amazonから削除されました。
しかし、Blu社によると、顧客が心配する必要は全くないという。同社は声明を発表し、「自社の携帯電話にはスパイウェアやマルウェア、秘密のソフトウェアは一切存在しない」とし、「これらの報告は不正確で虚偽である」と述べた。また、2016年11月の報告を受けて、Adupsのファームウェアの活動を監視するためにKryptowireを雇ったことも指摘した。
現在収集されているデータは、OTAの機能と基本的な情報報告の標準的なものです。これは、世界中の他のスマートフォンメーカーの製品とほぼ同様です。収集されている情報に異常はなく、ユーザーのプライバシーやセキュリティに影響を与えることもありません。[...] 一部の情報が中国のサーバーに保存される可能性があるという点については、同社のプライバシーポリシーには、収集されたデータの一部が米国外のサーバーに保存される場合があることが明記されており、中国にサーバーを設置すること自体に何ら問題はありません。BLUの経営陣は、HuaweiやZTEといった他の数十億ドル規模の企業やモバイルメーカーが中国国内のサーバーを使用しているにもかかわらず、中国国内のサーバーはリスクを伴うという主張に異議を唱えています。
ブルーは、この最後の点において、興味深い状況に陥っています。米国は、Huaweiデバイスのセキュリティについて、特に中国に情報を送信するという点を懸念し、中国政府がいつでもその情報にアクセスできることを懸念して、繰り返し疑問を呈してきました。中国の携帯電話メーカーが同じことをしているからといって、中国国内のサーバーに情報を保存しても問題ないというのは、せいぜい無理があるでしょう。
同社は声明の中で、完全に誠実な説明をしていないようだ。「さらに、 Kryptowireの副社長であるトム・カリギアニス氏によると、データ収集はBLUのプライバシーポリシーに準拠しており、BLUによる不正行為に当たるものではないとのことです。」CNETは、カリギアニス氏がこの声明を承認していないと報じており、詳細を尋ねるためにKryptowireに連絡したところ、以下の回答が寄せられた。
Kryptowireは、世界最大級のセキュリティカンファレンスの一つであるBlack Hatにおいて、世界トップクラスのセキュリティ専門家を前に、調査結果の技術的詳細とフォレンジック証拠を発表しました。私たちはこれらの調査結果に自信を持っています。
Blu、Best Buy、Neweggに連絡を取り、状況の詳細と、小売業者がAmazonに追随する予定があるかどうかを確認しました。回答が得られ次第、この投稿を更新します。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
