ブラックハット・アジアAndroidの多様性と、パッチ未適用の環境は弱点ではなく強みだ。モバイル決済企業Squareのセキュリティ責任者、ディノ・ダイ・ゾヴィ氏はそう語る。多様性こそが犯罪者ハッカーの活動のハードルを高くしていると彼は考えているからだ。
さまざまな携帯電話やタブレットで OS を実行できるようにするためにカスタマイズが行われているおかげで、Android のさまざまなバージョンが数多く存在します。
測定対象となった全デバイスの約 3 分の 1 は、2013 年にリリースされたオペレーティング システムのバージョン 4.4 (KitKat) を実行しており、さらに 3 分の 1 は、2014 年にリリースされたバージョン 5 (Lollipop) を実行しています。
これが問題となるのは、古いオペレーティング システムには多数の危険な脆弱性に対するパッチが適用されておらず、ほとんどのメーカーが自社の Android オペレーティング システムに最新の ASOP アップデートを導入するのに時間がかかったり、まったく拒否したりしているからです。
しかし、シンガポールで行われたブラックハットアジアカンファレンスで講演したダイ・ゾヴィ氏は、ステージフライトのような危険な脆弱性を悪用するには、各デバイスメーカーに合わせたカスタマイズが必要となるため、この断片化された異種エコシステムはパッチ未適用の人々に安全性をもたらすと述べている。
ディノダイゾヴィ。画像: ダレン・パウリ/ザ・レジスター。
「エコシステムは、各デバイスに合わせて設計する必要があるため、悪用が困難になっています」とダイ・ゾビ氏はイベントのセッションで述べた。
「[Android]のアプリ検証やGoogle Playストアのアプリケーションチェックなどのセキュリティ機能により、より安全なシステムになります。」
Androidの脆弱性は、膨大な数のデバイスに影響を与えることが頻繁に発見されています。StageFrightの脅威が再発したのは、比較的単純ながらも非常に危険な攻撃によって最大10億台のデバイスに影響を及ぼすことが初めて指摘されたため、Googleは迅速に一連のパッチをリリースしました。
Dai Zovi 氏は、Stagefright のような脆弱性が世界を滅ぼすと警告する人たちに警告を撤回するようまでは勧めなかったが、多種多様な Android プラットフォーム向けの脆弱性を開発するコストの高さと説明を比較検討すべきだと強く示唆した。
2015 年 8 月時点の Android の断片化。画像: Open Signal。
Androidの最新版LollipopとMarshmallowには、最高のセキュリティ機能が搭載されています。サイドロードされたアプリケーションのセキュリティチェック機能では、警告フラグが表示されるため、ユーザーが誤ってデバイスに侵入するのを困難にします。こうした警告は、Google Play以外のソースからダウンロードした海賊版アプリやコードを誤って使用してしまったユーザーにとって役立ちます。
ダイ・ゾヴィ氏は、2013年に発表されたジョージア工科大学の研究「問題の核心:携帯電話キャリアにおける悪意のあるトラフィックの分析」 [PDF]に言及し、Androidデバイスの0.0009%にマルウェアが存在することを明らかにしたが、この低い統計は現在の状況全体でも同様であると指摘した。
「実際に感染したデバイスの数は非常に少ない」とダイ・ゾヴィ氏は言う。®
