香港のWebフォーラム「IMA Mobile」にて、Kenny Li氏は中国メーカーXiaomi(シャオミィ:小米科技)のファブレット端末「RedMi(紅米:HongMi) Note」が、中国の北京に個人情報を送信している可能性を指摘しました。これは先月から台湾メディア科技新報で伝えられていた疑惑を再燃させるものでした。
過去には米国政府が、同じく中国メーカーのHuawei(ファーウェイ:華為技術)にスパイの疑いを向けたこともあり、Xiaomi製の端末に疑いの目が向けられるようになりました。
こうした動きを受けて、フィンランドのセキュリティ会社F-Secureは、Xiaomi製の「RedMi 1S」を入手し、疑惑の検証に乗り出しました。
検証では開封後、アカウントやクラウドサービスへの接続も設定も行っていない状況で行われました。この状況下で行われたことといえば、SIMの挿入、Wi-Fi接続、GPSサービスへの許可、電話帳に連絡先を追加、SMS/MMSの送信、電話の発着信のみ。最低限の動作しか行っていません。
しかしこの端末の通信を監視していたところ、起動時に通信会社名、IMEI、電話番号、電話帳の連絡先、受信したSMSメッセージの電話番号が、api.account.xiaomi.comに送信されているのが確認されました。また、Xiaomiのクラウドサービスにログインしたところ、先ほどの情報に加えて加入者識別番号(IMSI)も送信されたとのこと。
これに対して、Googleの元Android担当幹部にして、Xiaomiの現副社長を務めるHugo Barra氏は、Google+にて一連の問題に関する見解をQ&A方式で解説。まずクラウドメッセージングサービス「MIUI Cloud Messaging」についての概略を説明しました。
それによればこのサービスは、IMEIとIMSIを元にユーザー同士のSMSを無料で送受信できる仕組みを提供しているそうです。iPhoneユーザー同士で無料でメッセージを送受信できる、Apple社のiMessageとよく似たサービスであると考えるとわかりやすそうです。
そしてこの仕組みに必要な情報が、Xiaomiのサーバーに送信されていたようです。Hugo Barra氏の説明によれば、これらの情報は全て暗号化されており、他者に読み取られないようになっている上、メッセージの内容も短時間で破棄される仕組みとなっているそうです。
これまで、このクラウドメッセージサービスが自動で有効化されていました。これがユーザーに明示されていなかったのは問題です。
Hugo Barra氏はユーザーとファンに懸念を抱かせた点について謝罪するとともに、本日から実施されるアップデートで、この機能の有効化をユーザー自身で選択させる仕組みを実装することを明言しました。
ユーザーが問題を提起し、話題となり、セキュリティ会社が検証し、メーカーが対応するという流れは、ユーザーの声を大切にするXiaomiらしく、今後の製品とサービスに期待が持ててよいと思う反面、当初の問題提起からはそれなりに時間が経過しており、フットワークの軽いXiaomiであるからこそ、もう少し早く疑惑解消に動いていてもよかったのではと感じました。