新たな調査によると、Androidベンダーはパッチ配布が全くできず、新しい端末のユーザーは1年に1回しかアップデートを期待できず、ほとんどの端末が重大な脆弱性にさらされているという。
ケンブリッジ大学のダニエル・R・トーマス、アラステア・R・ベレスフォード、アンドリュー・ライスの3人の研究者は、2万400台のデバイスを調査し、87.7パーセントに少なくとも1つの、携帯電話を危険にさらす可能性のある重大な脆弱性があることを発見した。
Androidエコシステムのセキュリティメトリクス(PDF)によると、11の脆弱性により、動的なリンクの読み込みやインジェクションなどの攻撃が可能になり、マルウェアによるトラフィックの乗っ取り、携帯電話の故障、アプリの置き換え、ユーザーの認証情報の盗難が可能になる可能性があるという。
3人は、この混乱についてGoogleやユーザー、さらには通信会社を非難するどころか、ボトルネックとなっているのは端末メーカーにあると指摘している。
最も安全な Android を見つけるという任務を負っている研究者らは、ベンダー間でセキュリティがどのように異なるかを長期にわたって調査するのに役立つフレームワークの基礎を構築したと述べている。
彼らの考えを少し紹介します。
Androidのセキュリティは、x件の重大な脆弱性に対するアップデートをタイムリーに提供することにかかっています。しかしながら、迅速なアップデートを受け取るデバイスは少なく、年間平均1.26件のアップデートしか行われていないため、デバイスは長期間パッチが適用されない状態になっています。Androidエコシステムにおけるアップデート配信のボトルネックは、x件の重大な脆弱性に対するアップデートを提供していないメーカーにあることが示されました。これは、今日のAndroidセキュリティ市場がレモン市場のようになっていることに一部起因しています。つまり、デバイスが現在安全でアップデートを受け取るかどうかを知っているメーカーと、そうでない消費者の間に情報の非対称性が存在するのです。その結果、メーカーがアップデートを提供するインセンティブがほとんどありません。
このグループは、Android端末ベンダーが新規デバイスおよび販売後のアップデートでパッチを提供しているかどうかに基づいて、ベンダーを評価するためのスコアを提案しています。これは、ユーザーと規制当局がセキュリティリスクに基づいて行動するための指標となることを目的としています。
このスコアから判断すると、GoogleのNexusが明らかに勝者であり、LGは迅速なパッチ適用で高く評価されています。これらのベンダーは月次パッチ適用を約束していますが、その取り組みはまだ始まったばかりです。
通信事業者の中で、O2 UK は、T-Mobile と Orange をわずかに上回り、無線セキュリティ修正の推進において最も優れています。
パッチ適用アーキテクチャの参加者には、ネットワーク オペレーター、デバイス メーカー、ハードウェア開発者、Google、上流のオープン ソース プロジェクトが含まれます。
デバイス アナライザー アプリを使用して、電話機が安全でないかどうかが判断されます。このアプリは、ビルド文字列と、適用されているパッチを明らかにする「xyz 不透明マーカー」に関する情報を提供します。®
