[*]前 次[#] [0]戻 [4]履歴
[1]最新 [2]最初 ▼[3]コメント欄
804: 12/21 17:27
実はセキュリティ問題で事件が起こったのは、2016年11月である。中国の ADUPS製フ
ァームウェアのセキュリティ問題だ。米国で販売されているBLU製Androidスマートフォ
ンの一部モデルで、ユーザーの個人情報が許可なく中国のサーバに送信されていると、
セキュリティ研究者が報告したのである。 セキュリティ企業Kryptowireの研究者は、
Black Hatで7月26日に行った発表の中で、「BLU R1 HD」「BLU Life One X2」などのモ
デルについて、ユーザーの通話履歴やメッセージの内容、端末の識別情報といった個人
情報が、ユーザーの知らないうちに、上海にあるサードパーティーのサーバに送信され
ていると報告した。この米Kryptowireも又怪しげな政府系の会社で、米国防高等研究計
画局 (DARPA)から分離したセキュリティ解析ツール提供会社として存在している。この
米Kryptowireは15日、Shanghai ADUPS Technology が開発したファームウェアを採用し
た中国製スマートフォンにバックドアが仕組まれていると発表した。 Shanghai ADUPS
Technology(上海電科集団公司テクノロジー)はFirmware Over-The-Air(FOTA)アップ
デートサービスを提供する中国の大手企業である。クラウドベースのサービスを展開し
ており、同社が開発したファームウェアを組み込んだスマートフォンは、インターネッ
ト経由でファームウェアアップデートできる機能を有する。世界の多くのデバイス製造
メーカーやモバイルオペレータ、半導体企業と協業しているという。Kryptowireによる
と、この ADUPS製ファームウェアを採用したスマートフォンは、ユーザーの位置情報や
ユーザーの通話履歴、連絡先情報、および入力したテキストメッセージなどを収集し、
72時間おきに、中国にあるサーバーに送信していたという。機能的には、2011年に問題
となったCarrier IQに似ているが、ファームウェアアップデート機能やリモートアプリ
アップデートやインストール機能を備える一方で、キーロギングやメールアドレス収集
は通常は行なわない。なお、送信されるユーザーのテキストメッセージは DESで暗号化
されているが、Kryptowireは暗号キーを見つけ、メッセージの解読に成功したという。
この問題を発見したのは、BLU Products製のスマートフォン「BLU R1 HD」を購入したと
言うKryptowireの会社員の1人である。ただしADUPSのファームウェアはこのほかにも、
HuaweiやZTEといったメーカーが採用し、出荷数は7億台に上ると試算しており、潜在的
に問題は存在するとした。ところがこれは奇妙な発表である。
[*]前 次[#]
▲[6]上に [8]最新レス [7]ピク一覧