Motorolaが自社のスマートフォンから個人情報を収集していることが発覚

By Truthout.org

システムエンジニアのベン・リンカーンさんが、Motorolaから販売されているMotorola Droid X2を使用していたところ、Droid X2からひそかにプライバシーに関するデータがMotorolaに送信されていることを発見しました。

Motorola Is Listening - Projects - Beneath the Waves
http://www.beneaththewaves.net/Projects/Motorola_Is_Listening.html

Motorola Droid X2は、通常のMotorolaのスマートフォンとは違ってBlur/MotoBlurユーザーインターフェイスを搭載しておらず、生産者がOSに何も変更を加えてないStockAndroidに近いタイプのスマートフォンでした。これこそがリンカーンさんがMotorola Droid X2を購入した大きな理由とのことです。

By eatsmilesleep

ある日、リンカーンさんが仕事中に自身のDroid X2を使ってMicrosoft Exchange ActiveSyncに関するテストを行っていたときのこと。ペネトレーションテストを実行するBurp Suite Professionalと呼ばれるプロキシから履歴をチェックしていると、 ws-cloud112-blur.svcmot.comへのHTTP接続が頻繁に繰り返されていることを発見しました。

リンカーンさんはsvcmot.comがMotorolaによって使用されているドメインであることを突き止め、さらに、Motorolaへの接続がMicrosoft Exchange ActiveSyncの構成をアップデートする度に発生していることも発見。HTTPを含むURLからMotoloraに送信されていたトラフィック情報には、ActiveSyncサーバーのDNSネーム・ドメイン名とユーザーID・ActiveSyncアカウントに登録されているEメールアドレス・ネットワークコネクションの名前が含まれていました。また、頻繁に発生している接続ではありませんが、他にもいろいろな情報がMotorolaに送信されていることを突き止めたとのことです。

どのような情報がMotorolaに送信されているか気になったリンカーンさんは、EメールやActiveSync、SNSなどのアカウントをセットアップしてどの情報が漏れているのかテストをして、検証してみることに。

テストの結果、Facebook・Twitterなどのアカウントに関しては、登録しているメールアドレスとパスワードがMotorolaに送られていたとのこと。FacebookおよびTwitterは上記のようなデータの送信を不必要と判断するOAuthというオープンプロトコルをサポートしていますが、MotorolaはOAuthのように高度なセキュリティーを持つプロトコルを使用していません。また、FacebookやTwitterへの接続はほとんどHTTPのURLからMotorolaのシステムを介して行われるので、Motoloraは、Facebookに登録している友人・書き込んだり読んでいる投稿の内容・閲覧している画像などの情報をチェックし放題というわけです。下記の画像にはFacebookに登録しているEメールアドレス・パスワード・友人の情報がFacebookではなくMotorolaのサーバーに送られていることが明確に表記されています。

YouTubeやPhotobucket、PicasaもFacebookなどと同様に、登録しているEメールアドレス・パスワードがMotorolaに送られていました。

Exchange Active Syncに関する情報として、ドメインネーム・ユーザーネーム・Eメールアドレス・接続先名などがHTTPを含むURLからMotorolaに流出していました。

また、Yahoo! Mailに関して言えば、EメールアドレスがMotorolaに送信されているのを確認できたものの、アカウントのパスワードは一切漏れていなかったとのこと。

一方でMotorolaに送られていたGmailアカウントに関する情報はゼロ、という興味深い結果が出ています。しかしながらYouTubeなどのアカウントを作成すると、そちらからGmailのアカウント情報がMotorolaに送られるので注意が必要。リンカーンさんがYouTubeのアカウントをテストしていたところ、誰かがGmailのアカウントにログインしようとしたのでブロックしました、という警告メールがGmailから届いており、メールに記載されている不正なアクセス元のIPアドレスを調べるとMotorolaからの接続であったことがわかっています。

上記にあげたデータ以外にも、スマートフォンのホームスクリーンにインストールされているショートカットアイコンやウィジェットに関する情報などが2～3分おきにMotorolaに送信されていることがリンカーンさんの調べで判明したとのこと。

リンカーンさんは2013年6月に自身のMotorola Droid X2で調べただけなので、Motorolaが他機種からも情報を収集しているのかはわからないとしています。しかしながら、今回の1件をPCに置き換えて考えると、購入したPCに所有者に無断でプライバシーを含むデータを抜き取るよう改造されたプログラムがデフォルトで入っていたようなもので考えられないことである、とリンカーンさんは述べています。

なお、日本ではauから「MOTOROLA PHOTON ISW11M」「MOTOROLA RAZR IS12M」、ソフトバンクモバイルから「MOTOROLA RAZR M 201M」がリリースされています。