米Amazon、BLUのスマートフォン販売を再開
2017年8月8日 17:42
headless曰く、 米BLU Productsは4日、BLUブランドのスマートフォンのAmazon.comでの販売が再開されたことを発表した(BLU Productsのツイート、Tom's Guide、Neowin、The Verge)。
BLUのスマートフォンでは昨年11月、個人を識別可能な情報を中国のサーバーに送信するソフトウェアがファームウェアに含まれることが判明している(過去記事)。BLUは問題を発見したKryptowireを雇い、12月までに修正を行っている。しかし、7月のBlack Hat 2017でKryptowireがこの問題を再び発表(PDF)したことで、Amazon.comでは販売が停止された。これについてBLUでは、現在も修正前と同様の動作をしてはいるが、収集するデータは標準的かつ基本的なもののみで、セキュリティやプライバシーのリスクはなく、BLUのプライバシーポリシーに従った内容であることはKryptowireも確認済みだと反論していた。
AmazonはTom's Guideに対し、ユーザーに影響を与える可能性のある情報を受けて販売を一時停止したが、BLU Productsと情報交換をした結果、Amazon.comでBLU端末の販売を再開したと説明したという。BLUは販売再開を告げるツイートで、誤った警報であったと述べている。
なお、販売停止時の記事では送信される情報として「ユーザーが入力したテキストメッセージの全文、通話履歴、電話番号、アドレス帳データ、端末識別情報(IMSIおよびIMEI)など」が挙げられているが、これは昨年11月時点の情報のようだ。Black Hat 2017の発表ではテキストメッセージや通話履歴が送信されなくなったと説明されており、その後Kryptowireが公表した詳細情報では収集されるデータにアドレス帳データは含まれていない。
詳細情報で挙げられているのはBLU Grand MとBLU Life One X2の2機種。テストした端末のファームウェアはビルド日付がそれぞれ昨年12月22日と10月28日になっており、特に後者は修正後のビルドかどうか不明だ。また、BLU Advance 5.0の脆弱性も指摘されているが、こちらは昨年3月24日のビルドだ。
現在Amazon.comでは、BLU Life One X2とBLU Advance 5.0が在庫あり、BLU Grand Mは8月13日入荷。昨年11月の発表で名指しされたBLU R1 HDはロックスクリーンに広告の入るPrime Exclusiveで販売されていたが、製品一覧に表示されなくなっており、製品ページでは在庫切れになっている。