未公開の数のNokia 7 Plusスマートフォンが、中国の通信会社が所有するドメインに識別番号を送信していたことが発覚した。
これらの端末は、インターネット経由で平文データをvnet.cnドメインのサーバーに送信しました。このサーバーは中国電信が所有していると思われます。端末からのHTTP POSTリクエストには、IMEI番号、SIM番号、MACアドレスが含まれており、これらは携帯電話の識別や追跡に利用される可能性があります。
2016年にマイクロソフトからノキアの携帯電話事業を買収したHMD Globalによると、一部のノキア製デバイスが誤って「サードパーティのサーバー」と通信していたという。
「今回の件を分析した結果、海外向けデバイスアクティベーションクライアントが、Nokia 7 Plusの特定ロットのソフトウェアパッケージに誤って同梱されていたことが判明しました」と、HMD Globalの広報担当者はThe Register紙へのメールで説明した。「このミスにより、当該デバイスは誤ってアクティベーションデータをサードパーティのサーバーに送信しようとしていました。」
同社の広報担当者は、「少量生産」の携帯電話の台数について言及したり、このソフトウェアが中国での携帯電話のアクティベーションを目的としたものであることを確認したりする要請には応じなかった。
1月、セキュリティ研究者のDirk Wetter氏は、Qualcomm製のAndroidデバイス登録を処理するよう設計されたJavaコードを含むGitHubリポジトリを特定した。このコードにはvnet.cnドメインとChina Telecomへの参照が含まれていた。
調べたところwhois、vnet.cn は China Telecom に登録されています。
ハハハ!順応性ドロイド!そう、それが一番儲かるんだ
続きを読む
HMDは「個人を特定できる情報はいかなる第三者とも共有されていない」と主張しており、送信されたデータは処理されていない。これはおそらく、中国の実際の通信顧客に関連付けられたアカウントデータがなければ、アクティベーションの試行が失敗するためだと考えられる。
フィンランドの携帯電話メーカーは、影響を受ける携帯電話のアクティベーションソフトウェアを修正するパッチが2月にリリースされ、ほぼすべての端末にインストールされていると述べています。同社はさらに、アクティベーションデータの収集は通信業界の標準的な慣行であり、「消費者のセキュリティとプライバシーを真剣に受け止めている」と述べています。
ロイター通信によると、フィンランドのデータ保護オンブズマンであるレイヨ・アールニオ氏も同様の見解を示しており、データ保護法違反の可能性についてこの事件を調査している。
HMD は EU のデータ保護体制に違反した可能性がありますが、誤った場所に配置したアクティベーション ソフトウェアは、機密データを故意に送信するアプリや SDK よりも問題が少ないようです。®
