パスワードを忘れた? アカウント作成
14087090 story
Android

米政府の低所得家庭援助プログラムで販売されたスマートフォン、マルウェア2本がプリインストールされていた 31

ストーリー by headless
援助 部門より
米政府のライフライン補助プログラムで販売された低所得家庭向けスマートフォンにマルウェア2本がプリインストールされていたとMalwarebytesが報告している(Malwarebytes Labsの記事Ars Technicaの記事BetaNewsの記事)。

マルウェアがプリンストールされていたのはAssurance Wireless by Virgin Mobileが販売するUMX(Unimax) U686CLというモデルで、価格は35ドルだという。Malwarebytesでは昨年10月、政府提供の携帯電話にプリインストールされたアプリがマルウェアとして検出されるという報告をサポートシステムで受け、実際に購入して調査したそうだ。

調査の結果、OSアップデート用のアプリ「Wireless Update」と「設定」アプリの機能の一部がマルウェアだったそうだ。Wireless UpdateはOSアップデートを実行するだけでなく、ユーザーに無断でアプリをインストールする機能が備わっているという。インストールされるアプリはマルウェアではなかったそうだが、インストール前の確認画面なども表示されないため、マルウェアがインストールされる可能性も否定できない。設定アプリには別のマルウェアをインストールするトロイの木馬が組み込まれているとのこと。

Malwarebytesによれば、これらのアプリをADBコマンドラインツールを使用してアンインストールすることも可能とのことだが、それぞれの機能からみてアンインストールすると端末が使いものにならなくなってしまう。マルウェアの出どころは明確でないが、Malwarebytesでは変数名に中国語が使われている点から中国製だと予測している。端末自体は中国製。製造元のUnimax Communicationsは米企業だが、本社は香港のようだ。
  • by Anonymous Coward on 2020年01月12日 11時51分 (#3744057)

    良かれと思って作ったバックドアで脆弱性と言うべきものだったりはしないんかな。

    ここに返信
    • by Anonymous Coward on 2020年01月12日 16時23分 (#3744111)

      危険性を煽って「弊社のセキュリティ製品ならこれらを検出できますよ!」っていうMalwarebytesのダイマ。

      Malwarebytesは「Wireless Update」についてBLUのスマートフォンに使われていたAdups製品の事実上の亜種だって主張してるけど、あれが本当に問題だったのはSMSと通話履歴を無断でぶっこ抜いてた点だから、同列に語るのもなぁ。

    • by Anonymous Coward

      少なくともアップデータはこれだけでマルウェアと呼ぶのはどうかと思う。
      そうなら、世の中のオンラインアップデート可能なソフト全部マルウェアじゃないか。

      • by Anonymous Coward on 2020年01月12日 15時24分 (#3744094)

        > Wireless UpdateはOSアップデートを実行するだけでなく、ユーザーに無断でアプリをインストールする機能が備わっている

        まあ、言わないだけで、ファームウェアや端末ハードにとんでもない問題があった時のために、
        キャリアや端末メーカーがユーザーに断りなしに強制でファームなりアプリなりのアップデートをかける機能が、
        ほぼすべての携帯電話に仕込まれているよな。

        めったに起きないことではあるが、何度か実際にそれで緊急ファームウェアアップデートが行われたことがあったはず。
        最近(と言っても3年以上前の話になるが)では、SAMSUNGのGlaxy Note7のバッテリー発火事件で、
        未回収端末に対して文鎮化させるファームを強制インストールした [itmedia.co.jp]ってのがあった。

    • by Anonymous Coward

      端末の扱いに疎くてアップデートなどすべきことを怠るユーザーに代わってバックドアを仕掛けてアプリをリモートで強制的にアップデートしたり、設定を変えるのはアメリカのポリシーには反してそうだがポリシー次第ではありかもしれない。

      ただ予期していない第三者にバックドアを突かれてはダメだけど。

  • by Anonymous Coward on 2020年01月12日 12時02分 (#3744060)

    アンインストールしても自動アップデートで再インストールするのやめろよ
    Google [google.com]とかGoogle Duo [google.com]とか

    ここに返信
    • by Anonymous Coward

      しかもこいつ従量課金中とかの状況問わずに勝手に自身もアップデートし始めるからな
      そのくらいの配慮はWindowsでもできてるのに

  • by Anonymous Coward on 2020年01月12日 13時18分 (#3744076)

    ぶっちゃけ、大して金になるデータは盗めなさそう。

    ここに返信
    • by Anonymous Coward on 2020年01月13日 6時59分 (#3744290)

      アメリカは年収300万円程度でも低所得者の扱いだから
      一般的な日本人が想像する低所得者とは異なる

      • by Anonymous Coward

        日本叩き記事に永享されて一部の金持ち地域がアメリカ全体だと思ってそう

        • by Anonymous Coward

          > 一部の金持ち地域がアメリカ全体だと思ってそう

          「一部の金持ち地域」ことサンフランシスコでは、
          年収1300万円の家庭が「低所得層」扱いになりました。
          元コメの書いている、

          > アメリカは年収300万円程度でも低所得者の扱いだから

          とは桁の違う話です。一緒くたにしないように、

          サンフランシスコの異常な状況は地価・家賃の急上昇が原因なわけですが、
          日本だと、例えば幕張地区なんかはいい例かも知れません。
          オフィスも商業施設も増加が続いていますが、飲食店の店員が不足しています。
          「飲食店バイトをする層」の人間があのエリアに住んでないので、
          普通より多くの交通費を支給して他のエリアからバイトを呼び寄せる必要があります。

      • by Anonymous Coward

        物価違うからね。

    • by Anonymous Coward

      生活保護ビジネス 「せやな」

    • by Anonymous Coward

      低所得者向けのマーケティングをやればいいじゃない

      例えば
      Mozilla/5.0 (Linux; Android *; U686
      から始まるUserAgentがアクセスしてきたら、このスマホ使ってる人だろうから、
      貧乏人にあったクーポンを表示するとか、いくらでも金使わせる方法考えられるだろ

    • by Anonymous Coward

      アメリカ政府が仕込んだのかと思った

    • by Anonymous Coward

      「低所得者向けマルウェア2本」
      私ゃてっきりJWord & Yahooツールバーかと

  • by Anonymous Coward on 2020年01月12日 17時51分 (#3744135)

    >米政府のライフライン補助プログラムで販売された低所得家庭向けスマートフォン

    新聞だけが軽率減税とかさ、恥を知れっての

    ここに返信
    • by Anonymous Coward

      では日本も同じような補助プログラムで導入しますか?

      ・政府MVNO
      ・運用は税金
      ・端末はfreetel

  • by Anonymous Coward on 2020年01月13日 6時05分 (#3744286)

    中国の格安スマホメーカーで、素のandroidそのまま使ってる会社があるが、
    余計な機能入れずにあんな感じでいいのに

    ここに返信
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...