米国で流通する一部のAndroidスマートフォンに、個人情報を外部送信する偽のNetflixアプリがプリインストールされて販売されていることがわかったという。Computerworldが報じている。
サプライチェーンにおける第三者による混入か
今回の問題は、セキュリティベンダMarble Securityの調査により明らかになった。同社によれば、一部のスマホにプリインストールされているNetflix(米国の大手映像配信サービス)が改竄されており、このアプリを起動すると端末に保存されているクレジットカード情報やパスワードなどがロシアへ送信されてしまうという。
この件に関してLookoutの研究者は、中国のグレー市場にマルウェア入りの新端末が出回っていた実例を挙げつつ、メーカーが製品を出荷して消費者の手に届くまでのサプライチェーンのどこかで、十分な検証が行われないままマルウェアがバンドルされた可能性を指摘している。
また、Marble Securityが発見した具体的な被害機種については、SamsungのGalaxy Note、Galaxy S III、Galaxy Note 2、Galaxy S4、Galaxy S III、Galaxy S4に加え、MotorolaのDroid Razr、Droid 4、Droid Bionic、さらにAsusのタブレットEee Pad Transformer TF101、Memo Pad Smart MT301、およびLGのNexus 5と記されている。
Samsungの広報担当者はComputerWorldの取材に対し、これらの端末にマルウェアがプリインストールされていたとしても、それはSamsungおよび米国のパートナーキャリアによってプリインストールされたものではないと述べたという。
SOURCE