米BLU Products製のAndroidスマートフォン「BLU R1 HD」や「BLU Life One X2」などが、
ユーザーの許諾無しに個人情報を中国のサーバーに送信していたことが判明したという(ITmedia、日経ITpro)。
これを受けて、この端末を販売していた米Amazon.comは同社製のスマートフォン販売を停止したとのこと。
セキュリティ関連のカンファレレンスBlack Hatで発表されたもので、
送信されている情報はユーザーが入力したテキストメッセージの全文、通話履歴、電話番号、アドレス帳データ、端末識別情報(IMSIおよびIMEI)など。
この情報収集はファームウェアレベルで行われているとのこと。
これはファームウェアをネットワーク経由で更新するための機能の1つとして実装されており、
この機能を利用することで外部から端末をHTTP経由で操作し、各種情報を引き出したり、アプリをインストールさせられるようになっていたという。
このファームウェアはShanghai ADUPSTechnologyによって実装されているもので、ほかのメーカーも採用しているとのこと。
この問題については昨年11月にも話題となっていたが、BLUは対処したと発表していたという。
米Amazon、「スパイ機能」入りファームウェアを搭載したBLUの格安スマホを販売停止に
https://yro.srad.jp/story/17/08/04/0645206/
