Googleの修理拠点に送ったPixelスマホ、不正アクセスされたという報告

headless 曰く、　返品交換保証 (RMA) を受けるために Google のテキサスの修理拠点へ送った Pixel スマートフォンが不正にアクセスされ、Google アカウントやその他のアカウントが侵害されたとの報告が 2 件出ている (Android Police の記事、 The Verge の記事、 9to5Google の記事、 SlashGear の記事)。

1 件は Reddit で報告されたもので投稿は既に削除されているが、投稿者の妻が故障した Pixel を Google へ送ってから 1 か月ほどして妻のソーシャルメディアアカウントに妻のヌード写真が投稿され、妻の PayPal アカウントで誰かに 5 ドルが送金されたという。Facebook と Instagram のデータはテキサスからのログインを示しており、古い端末の位置情報は投稿日にも送付先の建物を示していたとのこと。

もう 1 件はゲームデザイナーのジェーン・マゴニガル氏が Twitter で報告したものだ。マゴニガル氏は Google に返送した Pixel 5a が届かなかったとして代金を課金された上、1 か月以上経っても新しい端末は送られてこないと報告していたが、その後 Googleアカウントなどに誰かがログインし、下着姿などを含む多数のセルフィーが閲覧されていたという。なお、こちらもアカウント侵害関連の投稿は削除済みとなっている。

Google は修理・交換のため端末を送る前にはバックアップを取ってから初期化するよう推奨しているが、いずれの端末も故障のために操作不可能だった点が共通している。前者は新しい端末を受け取ったようだが、修理拠点で何者かが古い端末を修理してアカウントにアクセスしたとみられる。後者に関して Google は The Verge に調査中だと回答しているが、端末が現在どこにあるのかも把握できていないようだ。

Apple の正規サービスプロバイダーでも 2016 年に同様の問題が発生しており、Appleが被害者に数百万ドルを支払ったと今年6月に報じられた。

　スラドのコメントを読む | ITセクション | Google | セキュリティ | Android

　関連ストーリー：
Apple、個人に修理部品を提供する「Self Service Repair」プログラムを日本などを除く多くの国や地域で発表 2021年11月20日
Apple、非認定修理業者がディスプレイを交換した iPhone 13 でも Face ID をブロックしない計画 2021年11月14日
Apple に iPhone 12 の修理を拒否されたうえに破壊された米男性、iPhone の代金分の少額訴訟を提起 2021年10月29日