先日、個人情報を無断で中国のサーバーに送信している可能性があるという米国内での報道を受けて、現地の Amazon.com で販売が中止され、その流れを受けて日本国内の Amazon.co.jp でも一時的に販売中された米 BLU 製スマートフォンですが、現行の機種は既にその問題は発生していない模様です。
日本国内の BLU 公式サイトにて、米国サイトに掲載されたメッセージの抄訳が掲載されました。内容は以下の通りです。
日本の皆さまに弊社製品をご安心してご利用いただけるよう、プライバシー上の懸念事項に対し、以下の内容を共有させていただきたいと思います。
現在日本で販売されている弊社製品の「GRAND M」と「GRAND X LTE」は Google Over the Air(GOTA)システムを採用しており、Adups OTA は使用しておりません。さらに、Mediatek logger v4.2.0 以降は Google 社によって承認されており、脆弱性も Mediatek 社と Google 社により解消されております。
弊社は報じられている誤った情報に対し、弊社の端末にスパイウェアやマルウェアやその他シークレットソフトウェアなどは全く存在しないと返答しており、不正確な報道に対しては記事の修正を求めております。
2016 年 11 月に Kryptowire 社が、一部の弊社の端末に連絡先やテキストメッセージの内容を収集するアプリケーションが含まれていたという Adups OTA に関するレポートを発表しました。結果として潜在的なプライバシー問題と判断されましたので、弊社は速やかに Adups のこの機能を無効としました。
さらに、弊社は以後の端末では Adups OTA を Google の GOTA に変更することを決定し、現在は GOTA のみを使用することを弊社の方針としております。(訳注:日本で販売されている GRAND M と GRAND X LTE はすべて GOTA が採用されたモデルです)
弊社は 2016 年 11 月の Kryptowire 社の最初のレポート時から Adups のアプリケーションの定期検査を Kryptowire 社に委託し、現在もなお継続して実施しております。現在行われているデータ収集は世界中のスマートフォン端末メーカーと同じ OTA の標準的な機能であり、ユーザーのプライバシーやセキュリティに全く影響はございません。弊社はユーザーのプライバシーとセキュリティを最重要事項として捉えております。
当初問題となっていたのは、BLU が採用していた中国 Adups 製ファームウェアにスパイウェアが混入し、個人情報を中国のサーバーに無断送信していた、というものになります。
これは 2016 年 11 月にセキュリティベンダーの Kryptowire 社が発表した、上のメッセージでも挙げられている内容です。その後 BLU ではまず混入していたスパイウェアを無効化するアップデートを配信し、この問題は一旦終息はしていました。
そして更に「GRAND M」や「GRAND X LTE」などの現行機種では既にAdups 製ファームウェアは使用せず、Google Over the Air(GOTA)に切り替え、根本からこの問題は解決したとしています。
また別件で、「GRAND M」と「GRAND X LTE」に搭載されている MediaTek 製プロセッサには「Mediatek logger」というログ機能が実装されているのですが、以前のバージョンでは脆弱性が見つかっていた模様です。これに関しても v4.2.0 において脆弱性が解消され、Google の承認も降りているとのこと。
これらのことから、日本国内向けに販売されている「GRAND M」と「GRAND X LTE」は、個人情報を中国のサーバーに無断送信する問題やそのほかのスパイウェアやマルウェアや、シークレットソフトウェアが存在しないと結論付け、そしてその裏付けとして Kryptowire 社による定期検査でも問題は報告されていないと訴えています。
疑問
しかし今回改めて問題が再燃し Amazon での販売が中止された原因は、現在米国で販売されている Adups 製ファームウェアを採用したスマートフォン「BLU R1 HD」が、2017 年 7 月時点で個体識別情報を無断で送信している、と Kryptowire 社が発表し、それを CNET の報じたためです。
つまり Adups 製ファームウェアが採用されている機種については Kryptowire 社がいまだ注意発起をしている状態となります。
ちなみに今回の BLU のメッセージでは、恐らく CNET の報道と思われる部分について “不正確な報道” と断定していますが、もし Kryptowire 社の発表した内容なのであれば “不正確な報道” とはならないかと思うので、この点に関しては疑問です。
そもそもAdups 製ファームウェアが採用されていない「GRAND M」と「GRAND X LTE」は関係ないのかもしれませんが、同じメーカーが製造するスマートフォンでは未だ問題が発生している可能性があるわけなので、この点についても言及すべきかと、個人的には思います。まだ安心はできなさそうですね。
Source:BLU