米国のセキュリティ企業クリプトワイヤ社は15日、複数のアンドロイド端末上で、ユーザーの同意なしに個人を特定できる情報を外部のサーバーへ送信するファームウェアを発見したと発表した。同社は、2011年に米国防総省国防高等研究計画局(DARPA)と米国土安全保障省科学技術部局(DHS S&T)から独立して設立した。
同ファームウェアが見つかった端末の中には、アマゾンやベストバイなどで人気のブループロダクツ社製「BLU R1 HD」などが含まれている。クリプトワイヤ社の報告によると、端末からテキストメッセージや連絡先リスト、通話履歴などが上海にあるサーバーに定期的に送信されていたという。また、リモートで定義したキーワードに一致する特定ユーザーとテキストメッセージをターゲットにすることも可能で、実際に一部のバージョンでは、端末の位置情報も送信されていた。
今回のデータの無断送信は、該当のアンドロイド端末に同梱されている、Firmware Over-The-Air(FOTA)というサービスを介して行われていた。FOTAは、上海广升信息技术股份有限公司(Shanghai Adups Technology Company)により提供され、無線LANや携帯データ通信により、ファームウェアをアップデートできる端末付属のソフトウェアであるため、アンチウイルスツールでの検出を免れていたという。
Adups社のウェブサイトによると、同社のファームウェアは、ウェアラブル端末やモバイル端末から車やテレビまで400以上の大手モバイル通信事業者、半導体ベンダー、端末メーカーで採用されており、2016年9月時点で7億台以上の端末やデバイスで動作している。また、150以上の国と地域で70%を超える市場シェアを持つという。
画像提供:Android Police
