中国スマートフォン大手・小米科技(シャオミ)の携帯電話と、それにインストールされている規定ブラウザは、利用者がアクセスしたウェブサイトを記録しているという。記録は最終的に中国本土に送信されている。米誌「フォーブス」が専門家の調査を報じた。
セキュリティ研究者のガブリエル・カーリグ氏は、小米の新機種「Redmi Note 8」のスマートフォンは、使用したフォルダ、見た画面、変更した設定など全部の利用者操作を記録していることを発見した。記録の送信先はシンガポールとロシアのリモートサーバーだが、ホストされているウェブドメインは、北京で登録されていた。
送信データは暗号化されていたが、簡単に解読可能な形式だという。このため、カーリグ氏は、容易に送信データを第三者が利用できるようになっているという。
小米はアップル、サムスン、ファーウェイに次いで、スマートフォン販売台数4位の大手。
カーリグ氏は、小米Mi10、小米Redmi K20、小米Mi MIX3など、他の売れ行きが好調な小米携帯電話のファームウェア(基本的な制御システム)でも、同様のセキュリティ上の問題があると指摘している。
サイバーセキュリティ研究者アンドリュー・ティアニー氏は、グーグルのプレイストアで1500万回ダウンロードされている、小米科技が作成した「Mi Browser Pro」と「Mint Browser」もまた、同様に利用者に無断でデータを収集する機能があると報じている。
両氏によると、利用者のスマートフォンを識別する固有番号などもデータ収集されており、「画面の背後にいる人間は、簡単に利用者を特定できるようになる」と指摘する。
小米科技は、フォーブス誌の報道にあるセキュリティ上の問題について否定している。しかし、データ収集は「ユーザー行動をよく理解するため」を理由に、匿名化して収集していることを認めた。
小米は、行動分析会社センサーズ・アナリティクス(Sensors Analytics)に情報を送信しているとされる。小米は、「収集データは同社サーバーおよびセンサーズ・アナリティクスに保管され、その他の第三者企業と共有することはない」と説明している。
(翻訳編集・佐渡道世)