セキュリティ企業Kryptowireは最近、一部のAndroidスマートフォンに、中国へ密かにデータを送信するバックドアが仕込まれていることを発見したとニューヨーク・タイムズ紙が報じています。さらに懸念されるのは、アメリカの携帯電話メーカーBLU Productsが、自社のスマートフォン12万台にソフトウェアにこのバックドアが仕込まれていたことが判明したことです。その後、ソフトウェアはアップデートされ、この秘密のバックドアの痕跡は完全に削除されました。
問題のソフトウェアは、電子機器メーカーにAndroidベースのソフトウェアを提供する中国企業、上海Adups Technology Company製のものです。このソフトウェアは、様々な電子機器メーカーによって、7億台以上の携帯電話、自動車、その他のスマートデバイスに使用されています。
このバックドアは、ユーザーの同意なしに、テキストメッセージの内容、連絡先、通話記録、位置データなどを中国のサーバーに送信するように設計されていました。
Kryptowireはウェブサイトに掲載されたレポートで、「このファームウェアは、特定のユーザーを標的とし、リモートで定義されたキーワードに一致するテキストメッセージを送信することができました。また、監視対象デバイスにインストールされているアプリケーションの使用状況に関する情報を収集・送信し、Androidの権限モデルを回避し、昇格された(システム)権限でリモートコマンドを実行し、リモートでデバイスを再プログラムすることができました」と説明しています。
アダプス社によると、このソフトウェアは身元不明の中国人顧客が中国国内の一部携帯電話のユーザー行動を監視できるように設計されたものだが、このソフトウェアがどのようにして大規模にリリースされ、米国に到達したのかは不明で、アダプス社は意図的ではなかったとしている。
この状況は、この秘密のバックドアを要求した身元不明の顧客が誰なのかという懸念も引き起こす可能性があります。中国の人権とプライバシーの状況を考えると、このソフトウェアの開発と配布に政府が関与している可能性も否定できません。
アメリカ当局はこの状況について警告を受けており、このバックドアが本当に宣伝目的なのか、それともデータや情報を収集するための中国政府のより大規模な取り組みの一環なのかをまだ評価中だ。
Androidは言うまでもなくGoogleのソフトウェアであり、Googleに何ら非はないものの、「オープン」なAndroidモデルには、このような悪用につながる限界があることは否めません。GoogleはAdupsに対し、Google Playストアなどのサービスを実行するデバイスから監視ツールを削除するよう指示しました。
Adups は影響を受けるデバイスのリストを提供していないため、ユーザーは現時点では自分のデバイスが脆弱かどうかを確認できません。
出典: Kryptowire – NY Times
画像クレジット: KochDigitalStudio
