Hello, we are fossBytes.

fossBytesに11月18日(米国時間)に掲載された記事「Chinese Secret Backdoor Is Sucking Data From 700 Million Android Smartphones Without Permission」が、7億台のAndroidスマートフォンにデバイスデータおよび特定可能なユーザーの個人情報を所有者の許可を得ることなく送信するファームウェアが搭載されていると伝えた。

このファームウェアの存在を指摘したのはセキュリティ研究ファームのKryptowire。発見したファームウェアに関する情報は「KRYPTOWIRE DISCOVERS MOBILE PHONE FIRMWARE THAT TRANSMITTED PERSONALLY IDENTIFIABLE INFORMATION (PII) WITHOUT USER CONSENT OR DISCLOSURE」に掲載されている。具体的には「BLU R1 HD」というプロダクトでこのバックドアを発見したと報告している。

指摘されているファームウェアは中国をベースとするファームウェア提供企業「Shanghai AdUps Technology」とされており、中国内のサーバにデータを送信する仕組みになっていると説明されている。また、このバックドアは遠隔からアプリケーションのインストールも可能にすると指摘がある。なぜこのような機能が搭載されているのか目的は不明とのこと。今後ベンダやキャリアから提供されるセキュリティ情報に注力することが望まれる。