車のバッテリー状態を確認できるアプリが中国に位置情報を送信していたことが判明、アプリは10万回以上ダウンロードされ日本でも利用されている

スマートフォン向けアプリの中には連絡先や位置情報などの個人情報を収集するものが数多く存在します。新たに「自動車に搭載したバッテリーの状態を管理できるアプリ」が中国に位置情報を送信していたことが明らかになりました。問題のアプリはAndroidだけでも10万回以上ダウンロードされており、日本にも利用者がいたようです。

Part 1 - Discovering that your Bluetooth car battery monitor is siphoning up your location data - doubleagent.net
https://doubleagent.net/2023/05/21/a-car-battery-monitor-tracking-your-location

問題のアプリはQuicklynks製のバッテリー状態チェッカー「バッテリーモニターBM2」と組み合わせて使う「BM2」という名称のアプリです。BM2にはiOS版とAndroid版が存在しており、Android版のダウンロード数は記事作成時点で10万回以上に達しています。

また、自動車関連情報共有サイト「みんカラ」にはバッテリーモニターBM2のレビューが複数投稿されており、日本にもユーザーがいたことが確認できます。

自称ハッカーのHaxRob氏がBM2の通信内容を分析した結果、BM2はユーザーの位置情報を収集して中国の地図サービス「Amap(高徳地図)」に送信していることが明らかになりました。データの送信先はAmapの提供元であるAlibabaが管理する北京と香港のサーバーで、位置情報には「GPS座標」「Wi-Fi」「携帯電話基地局」の情報が含まれていたとのこと。

HaxRob氏によると、発見時点ではAndroid版BM2の配布ページには「第三者にデータを共有しない」「情報を一切収集しない」という旨が表示されていたとのこと。

記事作成時点ではAndroid版の配布ページに「位置情報」「写真と動画」「デバイスまたはその他のID」を収集する旨が書き加えられていますが、「第三者にデータを共有しない」という旨は引き続き表示されています。

BM2の製造元であるQuicklynksはBM2のプライバシーポリシー内にスマートフォンの位置情報やバッテリーモニターBM2本体の位置情報を香港に送信する旨を記していますが、Amapに関する情報は記していません。

なお、HaxRob氏はBM2の通信内容分析やリバースエンジニアリング手法の詳細を以下の記事で詳しく解説しています。

Part 1 - Discovering that your Bluetooth car battery monitor is siphoning up your location data - doubleagent.net
https://doubleagent.net/2023/05/21/a-car-battery-monitor-tracking-your-location