OnePlusのOxygenOSに備わっている統計情報の収集機能にプライバシー情報漏えいの懸念が示される
セキュリティ研究家 Christopher Moore 氏は、OnePlus スマートフォンに使用されている OxygenOS システムにユーザーを特定でき、尚且つスマートフォン上での行動までも把握できてしまう仕組みが備わっていると自身のブログで公表し、プライバシー情報漏洩の懸念を表明しました。
Moore 氏によると、OxygenOS は open.oneplus.net という Amazon AWS 上でホストされているインスタンスに暗号化された HTTPS 通信を介して様々なデータを送信しているというのです。
データトラフィックの中で発見された情報とは、画面の ON / OFF、ロック解除イベント、アプリを開いたり閉じたりした時のタイムスタンプ、開いているアクティビティ(アプリ画面)、再起動時の異常、端末のシリアル番号、IMEI、電話番号、MAC アドレス、モバイルネットワーク名、IMSI プレフィックス、さらに、同氏が使用している Wi-Fi の SSID(ESSID や BSSID も含む)といったものです。
Moore 氏は上記の中でも不必要と思われるようなデータまで送信していることから、その挙動を不審に感じ、こうして報告しています。
Moore 氏はその後の調査で、データ収集を担当しているプロセスが OnePlus Device Manager と OnePlus Device Manager Provider であり、これらのプロセスをプリインストールアプリ「OPDeviceManager.apk」が司ることを突き止めました。このアプリをアンインストールすればデータ収集は停止する模様です。
Moore 氏の報告について OnePlus は次のような声明を出し、データ収集の理由を説明しています。
「当社は、安全性の高い HTTPS を介して 2 つの異なるストリームを Amazon サーバーに送信しています。最初のストリームは端末使用の分析のためであり、ユーザの行動に基づきソフトウェアを微調整するために収集しています。この使用状況の送信は、「設定」→ 「高度」→ [ユーザーエクスペリエンスプログラムに参加」から OFF にすることができます。 2 つ目のストリームはデバイス情報です。これは、より良いアフターサポートを提供するために収集しています。」
OnePlus の言い分としては、ソフトウェアやシステムの改善のためにこれらのデータを収集していますが、Moore 氏はこれらのデータを悪用すれば簡単にユーザーの身元から使用パターンまでを把握できると説明しています。
例えば、シリアル番号と OnePlus の直販サイトの注文情報を紐付けると、サーバに送られたシリアル番号から誰が購入したのかを把握することができます。それだけならまだしも、個人を特定した上で何時から何分間、どのアプリを使用したのかも分かってしまうので、Moore 氏は深刻な問題だと指摘しています。
Source : chrisdcmoore
関連記事
週間ランキング
None Found