パスワードを忘れた? アカウント作成
13370559 story
プライバシ

米Amazon、「スパイ機能」入りファームウェアを搭載したBLUの格安スマホを販売停止に 49

ストーリー by hylom
Android端末を買う前にファームウェアのメーカーを調べなければ 部門より

米BLU Products製のAndroidスマートフォン「BLU R1 HD」や「BLU Life One X2」などが、ユーザーの許諾無しに個人情報を中国のサーバーに送信していたことが判明したという(ITmedia日経ITpro)。これを受けて、この端末を販売していた米Amazon.comは同社製のスマートフォン販売を停止したとのこと。

セキュリティ関連のカンファレレンスBlack Hatで発表されたもので、送信されている情報はユーザーが入力したテキストメッセージの全文、通話履歴、電話番号、アドレス帳データ、端末識別情報(IMSIおよびIMEI)など。

この情報収集はファームウェアレベルで行われているとのこと。これはファームウェアをネットワーク経由で更新するための機能の1つとして実装されており、この機能を利用することで外部から端末をHTTP経由で操作し、各種情報を引き出したり、アプリをインストールさせられるようになっていたという。

このファームウェアはShanghai ADUPSTechnologyによって実装されているもので、ほかのメーカーも採用しているとのこと。この問題については昨年11月にも話題となっていたが、BLUは対処したと発表していたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年08月05日 0時19分 (#3256319)

    どのiOSでしたっけ?位置情報をオフにしてても勝手に記録してて、PCに暗号化もせず保存し続けてたのって
    あれだけのことやっておいて
    「単なるバクだ。直したから問題ない」で済ませたんですからねぇ

    今回の件も同じことになるんじゃないでしょうか?
    なぜならAppleがそうやった前例があるからです

    • by Anonymous Coward on 2017年08月05日 0時34分 (#3256325)

      そのことはiPhoneのソフトウェア使用許諾契約にちゃんと書かれているからな。
      BLUは明記しているのかね?

      親コメント
      • by Anonymous Coward

        iPhoneのソフトウェア使用許諾書:「汝、疑うことなかれ」

    • by Anonymous Coward

      とりたててAppleをやり玉に上げなくても、またか感あるし。

    • Appleならユーザーの全裸画像流出も実際にあった、そうiPhoneならね

      全文表示 | 米有名女優のヌード画像大量流出 iPhoneのセキュリティーの甘さが危機招く
      https://www.j-cast.com/2014/09/02214796.html?p=all [j-cast.com]

  • by Anonymous Coward on 2017年08月04日 20時11分 (#3256211)

    例えば1万以下で安いことで有名の「geanee」のスマートフォン。
    標準で削除できないアプリが入っていて、GPSを無効にしていてもGPS関連のサーバ(中国内のIP)につなごうとします。
    更にQualcommのOS系アプリも接続を試みます。

    あなたがお使いの彼女が漏らしてないかどうか確認したい紳士のキミは、
    ぜひ以下のテストを行ってもらいたい。

    1. 「NetGuard」というファイアウォールアプリをインストール。Githubからでも入手可能。
    2. 飛行機モードにして、Wifiもオフにしておく。
    3. ロギングを有効化。
    4. 全部ブロックの状態にする(アイコンをタップして全部オレンジにする)
    5. で、飛行機を解除。ネットにつなごうとするアプリでログが埋まります。

    私はNetGuardのプロ版を持っているので、無料だとログは取れないかもしれない。

    • by Anonymous Coward on 2017年08月04日 21時18分 (#3256244)

      GPSを使おうと思ってデバイスを有効にしたあとでSLPサーバにつなぎに行くんじゃ
      遅い。数時間ごとにアシストデータ持ってきて備えておくのは妥当な動作だと思う。
      標準のsupl.google.comは中国から必ずアクセスできるとは言い難いから中国内のサーバ
      も登録するのは不思議じゃないよね。

      まあこの辺の動作はそのへんのmediatekの石積んだ中華デバイスならエンジニアリング
      モードでログ見られるし別にこっそりやってるわけじゃなかろーに。

      親コメント
    • by Anonymous Coward

      なお、Google系を全部削除あるいは無効化して(adbのhideコマンド)も、無効化できないアプリは
      ゾンビのようにつなごうとします。そのようなアプリは、大抵DNSを参照してからつなごうとするので
      DNSをNetGuardでフィルタリングしてあげてください。(rootでなくても、このアプリはHOSTSファイルが使えます)

      完璧を目指すなら、
      Orbotをインストール。
      全部拒否設定にする。
      Firefox/Orfoxをインストール。Orbotのプロキシを使うように設定。
      NetGuardは、Orbotのみを許可し、それ以外は拒否するように設定しておく。

    • by Anonymous Coward

      最近はこういうのをプログラミングって言うのか

      • by Anonymous Coward

        コア部分はGPLv3で、一式公開されてました。コンパクトにまとまって読みやすかったですよ。
        やっぱり、こういうのを作りたかったら、VPNServiceを使うんですね

        • by Anonymous Coward

          そういうのを読むのをプログラミングって言うのか

          • by Anonymous Coward

            ということで、ソースコード解析は業務時間外にお願いします

    • by Anonymous Coward

      何なの、この人は
      チェックしたいならミラーポートをロギングする方が楽だろ

      • by Anonymous Coward

        それができる人なら、調べるまでもないこと

    • by Anonymous Coward

      ここはスラドですよ

      • by Anonymous Coward

        スラドだったらどうかしたんですか?
        僕ちゃんスラドなんか見てて偉いみたいな?

        • by Anonymous Coward

          アレゲですなあ...

          • by Anonymous Coward

            さすがにこれはアレゲではない。
            まさにアレ。

    • by Anonymous Coward
      >>あなたがお使いの彼女が漏らしてないかどうか確認したい紳士のキミ

      変態!変態!変態!
  • by Anonymous Coward on 2017年08月04日 22時45分 (#3256291)

    怪しい動きをしている [sumahoinfo.com]という話があるな。

  • by Anonymous Coward on 2017年08月04日 18時16分 (#3256141)

    BLUってたしかアメリカのメーカーなわけだけど、
    中国となんらかの結びつきがあったってことなんですかね。

    • 氷山の一角 (スコア:5, 興味深い)

      by Anonymous Coward on 2017年08月04日 18時38分 (#3256156)

      製品設計はアメリカの本社で行い、中国のメーカーに生産委託してるそうな
      アップルの場合は設計がアメリカ、生産の請負は台湾のホンハイ、製造がその直下の中国工場だけど
      今回のはダイレクトに中国メーカーがOEM元になってるので
      お上の指導でそういう機能を盛り込むよう圧力があったのかもね。

      おそろシナ

      親コメント
    • by Anonymous Coward

      中国製のファームウェアをろくに調査もせずに採用したってだけの話だろ。

    • by Anonymous Coward

      こうなってくるとwiko mobileも気になってきますね。
      たぶんビジネスの仕組みはおんなじはずなので。

    • by Anonymous Coward

      アメリカにもUPQみたいなメーカーも有るって事。

  • by Anonymous Coward on 2017年08月04日 19時13分 (#3256183)

    今回のはたまたま見つかったのでしょうか?
    あるいはいろいろな機種をテストしてそれで見つけたのでしょうか?
    リリースされたら、一定期間通信監視して変なことやっていないか
    評価機関があってもいいかもしれない。
    アンチウイルスの会社とかでやってくれないかなぁ
    # で、時間差で動き出すスパイウェアとかイタチごっこ開始ですか

  • by Anonymous Coward on 2017年08月04日 20時16分 (#3256216)

    それはどうなの?

    • by Anonymous Coward

      LINEに電話帳アクセスを許可しなければいい。

  • by Anonymous Coward on 2017年08月05日 0時04分 (#3256314)

    キンドルもスパイしてるのに何が問題なんですか?

    • by Anonymous Coward

      大阪の路駐おばさん

    • by Anonymous Coward

      そりゃNSAの時はあれだけ騒ぎになったんだし、世界中のスマホ他情報機器を製造している中国も同じことをしているんじゃないかという「疑惑」が出たら騒ぎにもなるでしょ。まあ、今回の件だと中国政府機関はノータッチで、単にファームウェアメーカーが金儲けの為に仕込んだ可能性もあるけど。

      #若しくは、会社ぐるみでもなく、内部で犯罪組織等と内通してた社員がいた可能性も…?

  • by Anonymous Coward on 2017年08月05日 12時42分 (#3256448)

    なんで内側カメラがあるのか考えたことのない馬鹿でもスマホを使っている。
    オール電化wwwスマートハウスwww指紋認証、格安DNA検査
    すでに監視されて選別されてるというのに時すでに遅し。

    • by Anonymous Coward

      で、あなたはどんなスマホつかってますか?
      まさか、この時代にガラケーとか?w

      • by Anonymous Coward

        誰も、スマホ使うなとか、自分は使っていないとか言ってないのにこのセリフ。

    • by Anonymous Coward

      特にノートPCに付いているカメラなんて本当に要らないんだけどねぇ。

      • by Anonymous Coward

        すいませーん、Skypeビデオ通話で連絡取りたいんですけれどいいですか?

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...