AndroidとiOS、プライバシーを丸裸にするソフトが仕込まれていたことが発覚

提供元は「携帯事業者とメーカーの品質管理のため」と主張


 多数のスマートフォン端末にプライバシーを丸裸にするソフトが仕込まれていたことを、米国のセキュリティ研究者が発見し、その動作する様子を撮影した約17分の動画をYouTubeに投稿した。これがきっかけとなり、端末を販売する携帯キャリアや、このソフトの製造元である米Carrier IQへの批判が高まっている。

 Carrier IQの目的は「携帯端末とキャリアサービスの品質管理のため」とされる。しかし、収集されているプライバシー情報の質・量が判明。Instapaperの開発で知られる著名プログラマーのMarco氏は、「品質管理のためと称して、新築の家のバスルームにカメラを設置するようなもの」と事態の重大さを例えた。

Carrier IQのソフトが動作する様子を撮影した動画を、セキュリティ研究者のTrevor Eckhart氏がYouTubeで公開した

 当初はHTC製Androidスマートフォンで発見されたが、その後、それ以外のスマートフォンでも見つかり、12月1日にはAppleのiOSにも含まれていることがiPhoneハッカーの解析によって明らかになった。

 この事態を受け、米国ミネソタ州選出のAl Franken上院議員は、Carrier IQを痛烈に批判し、情報提供を求める公開書簡を送付するに至っている。

 今回、研究結果を発表したのは、米国のセキュリティ研究者のTrevor Eckhart氏。Carrier IQソフトの動作を、技術的な詳細に至るまで2回に分けて報告している。

 同氏によると、このソフトウェアは端末中で起こるほぼすべての動作を記録し、携帯キャリアや端末メーカーに送信している。記録される情報は膨大で、押されたキーとその種類、開かれたアプリ、電話やSMSの送受信、位置情報、カメラや音楽プレーヤーの動作状況などが含まれる。また、ブラウザーで検索したURLも記録されている。

 このソフトウェアは、ユーザーが知らないうちに動作しており、しかも極めて除去が難しく、ユーザーが動作を止めることは実質上できないという。許可なしに情報が送信されていることから、同氏は、しばしばマルウェアに対して使用される“ルートキット”という用語をこのソフトウェアに適用し、厳しく糾弾している。

 Eckhart氏がこの情報を公開したことを受け、Carrier IQは、同氏が企業の内部情報を許可なしに公開したとして提訴する構えを見せた。しかし、米EFF財団がEckhart氏を擁護する構えを見せた結果、提訴を急きょ取りやめることになった。

 Carrier IQのウェブサイトによると、同社は2005年に設立され、「携帯サービスインテリジェンスソリューションのリーディングプロバイダー」だとしている。

 Android端末に関して判明した事柄から、iPhone端末にも注目が集まった。これに対して、通称「chpwn」で知られるハッカーのGrant Paul氏が、iOS中にもCarrier IQのソフトウェアが含まれていることを発見し、ブログで詳しく報告した。

 ただし、iPhoneの場合はAndroid端末とは事情が多少異なっているようだ。同氏の解析によると、ソフトウェア自体はiOS 3/4/5に含まれているものの、iOS 5では、利用状況の診断機能をオフにすることによって無効化できるほか、iOS 3/4でも、現時点で診断機能が利用されている形跡はないようだとしている。なお、このソフトウェアはiOS内の電話番号、キャリア、国名、通話中の電話、位置情報などにアクセスすることは可能だとしている。

 この“ルートキット”が含まれている端末が、有志によって多数報告されている。なお、現時点でNokiaはCarrier IQのソフトウェアを使用していないことを正式に表明し、Windows Phone全端末にも含まれていないことが判明している。また、Android系端末であっても米Amazon.comのKindle Fireには含まれていないこともわかっている。

【追記 2011/12/6 13:00】
 一連の報道を受けてCarrier IQは、報道内容に反論する声明を発表。「われわれのソフトウェアは、SMSメッセージ、メール、写真、オーディオ、ビデオのコンテンツを記録、保存、送信することはない。例えば、SMSが正常に送信されたかどうかを確認するが、SMSコンテンツを記録または送信することはない。また、どのアプリケーションがバッテリーを消費しているかを確認するが、スクリーンキャプチャーすることはない。プライバシーは守られている」としている。(本誌2011年12月5日付関連記事を参照)

 また、米セキュリティ研究者のDan Rosenberg氏が、自身のスマートフォン「Samsung Epic 4G Touch」で詳細に解析。Carrier IQが収集可能なデータの種類を一覧表として公表している。その結果から、収集されるデータは妥当な内容で、意図に悪意は感じられず、Carrier IQのサービスは結果としてユーザーの携帯サービス向上につながる種類のものではないかと分析する一方で、携帯キャリアと端末メーカーに対しては、ユーザーにデータ収集を事前通告しなかった責任を指摘している。(本誌2011年12月6日付関連記事を参照)


関連情報


(青木 大我 taiga@scientist.com)

2011/12/2 13:24