米国防高等研究計画局(DARPA)から分離したセキュリティ解析ツール提供会社、米Kryptowireは15日(現地時間)、Shanghai ADUPS Technologyが開発したファームウェアを採用した中国製スマートフォンにバックドアが仕組まれていると発表した。
Shanghai ADUPS TechnologyはFirmware Over-The-Air(FOTA)アップデートサービスを提供する中国の大手企業である。クラウドベースのサービスを展開しており、同社が開発したファームウェアを組み込んだスマートフォンは、インターネット経由でファームウェアアップデートできる機能を有する。世界の多くのデバイス製造メーカーやモバイルオペレータ、半導体企業と協業しているという。
Kryptowireによると、このADUPS製ファームウェアを採用したスマートフォンは、ユーザーの位置情報やユーザーの通話履歴、連絡先情報、および入力したテキストメッセージなどを収集し、72時間おきに、中国にあるサーバーに送信していたという。機能的には、2011年に問題となったCarrier IQに似ているが、ファームウェアアップデート機能やリモートアプリアップデート/インストール機能を備える一方で、キーロギングやメールアドレス収集は行なわない。
なお、送信されるユーザーのテキストメッセージはDESで暗号化されているが、Kryptowireは暗号キーを見つけ、メッセージの解読に成功したという。
この問題を発見したのは、BLU Products製のスマートフォン「BLU R1 HD」を購入したKryptowireの会社員の1人。ただしADUPSのファームウェアはこのほかにもHuaweiやZTEといったメーカーが採用し、出荷数は7億台に上ると試算しており、潜在的に問題は存在するとした。
これに対しShanghai ADUPS Technologyは16日(中国時間)声明を発表。ADUPS製ファームウェアでは、モデル情報、デバイスの状態、アプリケーションの情報、bin/xbinの情報、およびさまざまな情報を収集していることを認めた。しかしこれらは正しいアップデートとサービスが正しいデバイスに対して提供していることを確認するためだという。また、転送の際に関して複数の暗号化を施し、データの安全性を確保。企業設立時から、ユーザーのプライバシーに関して厳重に保護してきたという。
一方、テキストメッセージや通話履歴を収集していたのは、広告をはじめとする迷惑メール、およびユーザーの連絡先にない迷惑電話番号で、ユーザー体験を向上させる目的としたものだとしている。これらはカスタマイズドバージョンで提供されたという。
そして、いくつかのBLUの製品で、この迷惑メールと迷惑電話を収集する機能が有効化されたのだが、これは別のADUPSの顧客からの要求で、誤って実装してしまったという。ADUPSはBLU向け製品をアップデートし、すぐにこれらの機能を削除。これらの製品ではKryptowireのテストをクリアしているほか、GoogleとBLU両方の承認を得ているという。
今後は、製品のプライバシーを保護するため、さらなる向上を目指すとしている。