米アマゾンが米BLU製格安スマホを販売停止

2017/8/2 23:00
保存
共有
印刷
その他

ITpro

米Amazon.com(アマゾン・ドット・コム)が2017年7月31日(米国時間)までに、米BLU Products製のAndroidスマートフォン(スマホ)の販売を停止した。BLU製スマホが採用するファームウエアがユーザーの個人情報を中国のサーバーに無断で送信していたことが分かったため。BLU製スマホは日本でもソフトバンク コマース&サービスが販売している。

BLU製スマホが採用する中国Shanghai Adups Technology(以下Adups)製のファームウエアには、ユーザーが入力したテキストメッセージの全文やアドレス帳の内容、電話履歴、電話番号、IMSI(International Mobile Subscriber Identity)やIMEI(International Mobile Equipment Identity)といった個体識別情報を、中国のサーバーに無断で送信するという問題があった。

このようなプライバシー問題がBLU製スマホ「BLU R1 HD」に存在することは、米国のセキュリティーベンダーであるKryptowireが2016年11月に発表していた。BLUはこの問題を取り除いたとしていたが、Kryptowireは2017年7月26日(米国時間)に米ラスベガスで開催された「Black Hat 2017」の講演で、BLU製スマホには依然として同種の問題が残っていることを指摘した。これを米メディアの「CNET」などが報道したことから問題が再燃し、Amazonは7月31日までにBLU製スマホの販売を停止した。

米Amazon.comにおけるBLU製スマホの販売ページ(出典:米Amazon.com)

米Amazon.comにおけるBLU製スマホの販売ページ(出典:米Amazon.com)

■ファームウエアをOTAで更新する機能に問題

Adupsのファームウエアは、ファームウエアをネットワーク経由で更新する「FTOA(Firmware Over the Air)アップデート」という仕組みを搭載しているが、FTOAアップデートを実現するために同社は、Androidスマホを外部のサーバーからHTTP経由でコントロールする仕組みを実装していた。

このコントロールコマンドの中に、テキストメッセージを取得するコマンドなどが存在していた。テキストメッセージをキーワード検索して、特定のキーワードに合致する内容だけを収集するという機能まで搭載されていたという。またコマンドをHTTP経由で送受信しているため、ネットワーク途中でコマンドが改変されるというセキュリティー上の問題も抱えていた。

AmazonはBLU製スマホのBLU R1 HDを、「Amazon Prime」会員に限定して65ドルという低価格で販売していた。そのためBLU R1 HDは、Amazonで最も販売台数の多いアンロック(SIMカードロックの無い)Androidスマホになったこともあった。Amazonは現在、BLU製スマホを全て販売停止にしている。

■BLU以外のメーカーもAdupsのファームウエアを搭載

BLUは7月31日に声明を公表し、「スパイウエアやマルウエアなどがBLU製品に仕込まれているということではない」と説明した。BLUは2016年11月にKryptowireからの指摘を受け、Adupsのファームウエアが備えるFTOAの仕組みを停止していた。また今後は、FTOAの利用を取りやめ、米Google(グーグル)が提供するアップデートの仕組みである「GOTA」に切り替えるとしている。しかし依然として古いデバイスではAdupsのFTOAの仕組みを使っている。

Kryptowireによれば、Adupsのファームウエアは中国Huaweiや中国Haier、中国Hisense、中国ZTEといった大手メーカーが採用しているという。BLUは「Adupsのファームウエアは自社だけでなくほかの有力メーカーも使用しており、当社だけの問題ではない」とも声明で主張しており、この問題が他社に広がる可能性もある。

(日経BP社シリコンバレー支局 中田敦)

[ITpro 2017年8月2日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]