ファームウェアが中国のサーバに個人情報を送信していると報告されたBLU Productsの「BLU Life One X2」

米国のAmazon.comなどで販売されている米携帯端末メーカーBLU ProductsのAndroidスマートフォンについて、セキュリティ研究者がBlack Hatの発表の中で、ユーザーの個人情報が中国にあるサーバに許可なく送信されていると報告した。報道によると、Amazonはこの発表を受けて問題のスマートフォンの販売を中止。BLUでは「スパイウェアやマルウェアや秘密のソフトウェアは搭載していない」と反論している。

セキュリティ企業Kryptowireの研究者はBlack Hatで7月26日に行った発表の中で、「BLU R1 HD」「BLU Life One X2」などのモデルについて、ユーザーの通話履歴やメッセージの内容、端末の識別情報といった個人情報が、ユーザーの知らないうちに、上海にあるサードパーティーのサーバに送信されていると報告した。

こうした情報の収集には、無線経由（OTA）で更新されるファームウェアが使われており、Shanghai Adups Technologyという企業が管理しているという。

threatpostなどの報道によると、米Amazonはこの報告を受け、「問題が解決されるまで、BLUのスマートフォンは全モデルの販売を中止する」と表明した。

BLUが7月31日に発表したプレスリリースによると、AdupsのOTAアプリケーションについては、2016年11月にKryptowireからの報告によって、一部のBLU製品に搭載されていたバージョンで連絡先やメッセージの内容を収集していることが発覚。BLUはAdupsにこの機能を無効にさせることによって、問題を解決したとしている。以後のデバイスについては、AdupsのOTAアプリケーションをGoogleのGOTAに切り替えたという。

一部の古いデバイスは、依然としてAdups OTAを使っているものの、そのことに問題はないとBLUは強調する。現在行っているデータ収集は、OTAの標準的な機能であり、ユーザーのプライバシーやセキュリティに影響を及ぼすことはないと説明している。

中国のサーバに情報が保存されていることについては、「プライバシーポリシーには、収集したデータの一部が米国外のサーバに保存されることもあると明記しており、中国にサーバがあることには何の問題もない。中国にあるサーバはリスクにさらされるという発言に対してBLUは異議を唱える。そうしたサーバは他の大企業やモバイルメーカーも利用している」と強調した。

【訂正：2017年8月3日13時15分 初出時にBLUが名指しした社名を記載していましたが、記事内容との関係がなく、誤解を招く恐れがあるため削除しました】

Copyright © ITmedia, Inc. All Rights Reserved.