Amazonが「スマホの個人情報を無断で中国のサーバーに送信している」と報告されたBLUのスマホを撤去

格安スマートフォンブランドの「BLU」は全米のSIMフリースマホのシェアNo.1を誇っています。しかし、このBLUのスマートフォンがユーザーの個人情報を無断で中国のサーバーに送信していると報告され、「潜在的なセキュリティ問題」があるとしてAmazonがウェブサイトから商品を撤去しています。

Amazon suspends sales of Blu phones due to privacy concerns - CNET
https://www.cnet.com/news/amazon-suspends-sales-of-blu-phones-due-to-privacy-concerns/

Privacy warnings spell trouble for millions of low-cost Android phone owners | Ars Technica
https://arstechnica.com/information-technology/2017/08/citing-privacy-threats-amazon-stops-selling-some-android-phones-from-blu/

2017年7月20日ラスベガスで行われていたセキュリティ・カンファレス「Black Hat」で、セキュリティ専門企業のKryptowireは全米でトップシェアを誇るSIMフリースマートフォン「BLU」が「ユーザーに注意を促すことなく端末のデータを中国にあるサーバーに送っている」という内容を発表しました。

All Your SMS & Contacts BelongTo Adups & Others
(PDFファイル)https://www.blackhat.com/docs/us-17/wednesday/us-17-Johnson-All-Your-SMS-&-Contacts-Belong-To-Adups-&-Others.pdf

BLUは中国にあるShanghai Adups Technologyが製造を行っており、テキストメッセージ・連絡リスト・通話履歴・デバイス固有の識別コード・アクティビティといった個人データはShanghai Adups Technologyのサーバーに送られていたとのこと。そして2017年8月2日、Kryptowireは他の研究者らが閲覧できるように、さらにいくつかの技術的な情報を公開しました。

Kryptowire Provides Technical Details on Black Hat 2017 Presentation: Observed ADUPS Data Collection & Data Transmission
http://www.kryptowire.com/observed_adups_data_collection_behavior.html

上記ウェブサイトの中で言及されているBLUの端末は「Grand M」「Life One X2」「Advance 5.0」など。Grand M・Life One X2については携帯電話の基地局のIDや場所、電話番号、IMEI、IMSI、Wi-FiのMACアドレス、端末のシリアルナンバー、インストールしているアプリケーションのリストとそのタイムスタンプなどが中国のサーバーに送信されていたとのこと。また、Advance 5.0にはサードパーティーに利用され、外部からコードを実行される可能性がある脆弱性も含まれていました。この脆弱性は2016年末に発見されていたものの、修正されないまま放置されていたというのがKryptowireの見方のようです。Kryptowireによると情報漏れがあったのはBLUの端末に限らず、ライバル企業であるCUBOTのCubot X16Sについてもウェブサイトで言及されていて、ブラウジング履歴を含めた個人情報が中国へと送られていたと記されています。

この件について、BLUの広報担当は「BLUにはカスタマーのプライバシーやセキュリティを真剣に考えた規定のポリシーが存在します」「BLUのデバイスにマルウェアやスパイウェアは存在せず、これは不正確で誤った報告です」と発表。「繊細な個人情報を集めている」という主張に対しては「集められてるデータは標準的な機能についてのものや、レポートの基礎的なものです」「これは世界中のスマートフォン製造業者が集めているものであり、『通常』の範囲を超えるものは何もなく、ユーザーのプライバシーやセキュリティに影響しません」と反論しました。

BLU responds to inaccuracies in several stories from last week regarding its devices
http://www.prnewswire.com/news-releases/blu-responds-to-inaccuracies-in-several-stories-from-last-week-regarding-its-devices-300496680.html

しかし、AmazonはウェブサイトからBLUのスマートフォンの商品ページを削除。日本Amazonを確認したところ、BLU GRAND M・BLU GRAND X LTEが掲載されていたページが削除されていました。

404 - Document Not Found

Amazonは「私たちは最近、Amazon.com上で販売されているいくつかのBLUスマートフォンに存在する潜在的なセキュリティ問題について学びました。顧客のセキュリティやプライバシーは最も重要なものであるため、問題が解決されるまで、BLUスマートフォンの全てのモデルはAmazon.comで購入できなくなります」とCNETに対してコメントを発表しています。

なお、スマートフォンの情報が中国のサーバーに送信されているという報告は今回に始まったことではありません。2016年末にはBLUの「R1 HD」や「Energy X Plus 2」を含む安価なAndroidスマートフォンに、ユーザーの通話履歴やテキストなどの個人データを中国のサーバーに無断で送信するアプリが含まれていることが明らかになりました。ただし、このときのBLUの対応は素早く、「BLU Products製のスマートフォンの一部で、無許可にテキストメッセージや通話履歴、連絡先などの個人情報を収集されていましたが、アプリを削除してセキュリティ問題を解決しました」と公式に声明を出しています。

Android搭載スマホがユーザーデータを密かに中国へ送信していることが発覚 - GIGAZINE

また、このとき、データの送信についてAdUpsは「2016年6月に、いくつかのBLU Products製スマートフォンにAdupsのファームウェアアプリケーションを適用した際、うっかり他のAdupsクライアントのリクエストで端末から個人情報を引き出すことができるようになってしまいました。BLU ProductsがAdupsのソフトウェアに異議を唱えてきた際、我々は即座にソフトウェアを端末から削除しました」とコメントしていました。

Secret Back Door in Some U.S. Phones Sent Data to China, Analysts Say - NYTimes.com
https://mobile.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html

Budget Android phones are secretly sending users’ text messages to China - The Verge
https://www.theverge.com/2016/11/15/13636072/budget-android-phones-blu-china-text-messages

今回の一件には関わっていないセキュリティ企業Trail of BitsのCEOであるDan Guido氏は、「BLUのスマートフォンがユーザーのプライバシーを脅威にさらしている」とするKryptowireの見方に同意しており、ニュースメディアであるArs Technicaの取材に対して「これらのコードを削除するのを忘れて端末をアメリカに向けて販売することで、BLUは何も知らない購入者を中国企業による監視の下にさらしました」と語っています。Guido氏は「BLUスマートフォンの販売をストップする」というAmazonの決断を正しいものだと考えており、同様にプライバシーの危険にさらされているスマートフォンの取り扱いをAmazonで停止すべきだと語っています。