米Amazon.comが2017年7月31日(米国時間)までに、米BLU Products製のAndroidスマートフォンの販売を停止した。BLU製スマホが採用するファームウエアがユーザーの個人情報を中国のサーバーに無断で送信していたことが分かったため。BLU製スマホは日本でもソフトバンク コマース&サービスが販売している。

 BLU製スマホが採用する中国Shanghai Adups Technology(以下Adups)製のファームウエアには、ユーザーが入力したテキストメッセージの全文やアドレス帳の内容、電話履歴、電話番号、IMSI(International Mobile Subscriber Identity)やIMEI(International Mobile Equipment Identity)といった個体識別情報を中国のサーバーに無断で送信するという問題があった。

 このようなプライバシー問題がBLU製スマホ「BLU R1 HD」に存在することは、米国のセキュリティベンダーであるKryptowireが2016年11月に発表していた。BLUはこの問題を取り除いたとしていたが、Kryptowireは2017年7月26日(米国時間)に米ラスベガスで開催された「Black Hat 2017」の講演で、BLU製スマホには依然として同種の問題が残っていることを指摘した(発表内容)。これを米メディアの「CNET」などが報道したことから問題が再燃し、Amazonは7月31日までにBLU製スマホの販売を停止した(写真)。

写真●米Amazon.comにおけるBLU製スマホの販売ページ
写真●米Amazon.comにおけるBLU製スマホの販売ページ
出典:米Amazon.com
[画像のクリックで拡大表示]

ファームウエアをOTAで更新する機能に問題

 Adupsのファームウエアは、ファームウエアをネットワーク経由で更新する「FOTA(Firmware Over the Air)アップデート」という仕組みを搭載しているが、FOTAアップデートを実現するために同社は、Androidスマホを外部のサーバーからHTTP経由でコントロールする仕組みを実装していた。このコントロールコマンドの中に、テキストメッセージを取得するコマンドなどが存在していた。テキストメッセージをキーワード検索して、特定のキーワードに合致する内容だけを収集するという機能まで搭載されていたという。またコマンドをHTTP経由で送受信しているため、ネットワーク途中でコマンドが改変されるというセキュリティ上の問題も抱えていた。

 AmazonはBLU製スマホのBLU R1 HDを、「Amazon Prime」会員に限定して65ドルという低価格で販売していた。そのためBLU R1 HDは、Amazonで最も販売台数の多いアンロック(SIMカードロックの無い)Androidスマホになったこともあった。Amazonは現在、BLU製スマホを全て販売停止にしている。

BLU以外のメーカーもAdupsのファームウエアを搭載

 BLUは7月31日に声明を公表し、「スパイウエアやマルウエアなどがBLU製品に仕込まれているということではない」と説明した。BLUは2016年11月にKryptowireからの指摘を受け、Adupsのファームウエアが備えるFOTAの仕組みを停止していた。また今後は、FOTAの利用を取りやめ、米Googleが提供するアップデートの仕組みである「GOTA」に切り替えるとしている。しかし依然として古いデバイスではAdupsのFOTAの仕組みを使っている。

 Kryptowireによれば、Adupsのファームウエアは中国Huaweiや中国Haier、中国Hisense、中国ZTEといった大手メーカーが採用しているという。BLUは「Adupsのファームウエアは自社だけでなくほかの有力メーカーも使用しており、当社だけの問題ではない」とも声明で主張しており、この問題が他社に広がる可能性もある。

■変更履歴
記事公開当初、「Firmware Over the Air」の略を「FTOA」としておりましたが、正しくは「FOTA」です。本文は修正済みです。 [2017/8/4 16:00]