パスワードを忘れた? アカウント作成
8398464 story
Android

米NGO、キャリアにより脆弱性が放置されたAndroidスマートフォンの調査と救済をFTCに求める 103

ストーリー by headless
救済 部門より
Androidスマートフォンの多くでセキュリティーアップデートが提供されず、脆弱性が放置されているとして、アメリカ人権自由協会(ACLU)が米連邦取引委員会(FTC)に調査と救済措置を求める訴状を提出したそうだ(ACLUのブログ記事訴状: PDFThe Security Ledgerの記事本家/.)。

Android OSはGoogleによってセキュリティー修正が行われているが、多くのデバイスは携帯キャリアやハードウェアメーカーによりカスタマイズされたOSが搭載されているため、Google提供のセキュリティーアップデートをそのまま適用することができない。Androidデバイスはスマートフォン市場の75%を占めるが、既知の脆弱性が確認されているバージョンが多数を占めるという。Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったものであるのにも関わらず、キャリアやハードウェアメーカーによるセキュリティーアップデートの提供頻度は低い。しかし、多くのユーザーは2年契約で端末を購入しており、脆弱性のあるソフトウェアを使い続けることになる。ACLUでは、キャリアが重要なセキュリティーアップデートを提供しないのであれば、デバイスに対する返金や違約金を払うことなく解約できるようにすることをキャリアに強制するようFTCに求めている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • サポート期間内であれば、WindowsやOS X、iOSに関しては常に最新のアップデートが
    受けられるが、その中でWindowsはハードメーカーに依存せずにアップデートが
    受けられるのに対し、Androidが受けられないのはやっぱり問題のような気がする。
    それはGoogleが悪いのかメーカーが悪いのかわからないが。

    ただひとつ言えることは、Androidが既にビジネスや生活に根付いたデバイスに
    なっているがために、そのことを声を大にして言えない空気があること。
    それは不思議な感じですらある。
    • WindowsUpdateでアップデートが提供されるのは、Microsoft製品と、Microsoftが提供するサードパーティ製ハードウェア用ドライバなどだけで、サーパーティが提供するドライバはアップデートされない。

      サードパーティ製ドライバやアプリが新しいWindows用サービスパックでは動作しないからとWindowsにサービスパックを適用しないなどという話は良くある話。
      ただ、PCの場合、チップセット内蔵デバイス以外に追加ハードウェアが必要なシーンは少なくなっているので、このような状況は大幅に減ってきていることも事実だが、Android端末はまだ黎明期であり、ハードウェアメーカーによる独自拡張が一定の範囲でまだ有意義だ。
      (キャリアやメーカーがアップデートを提供しなくて良いわけではない)

      親コメント
    • by Anonymous Coward on 2013年04月20日 15時51分 (#2367442)

      > Androidが受けられないのはやっぱり問題のような気がする。

      Nexus 系なら、Androidでも常に最新のバージョンが来ますよ。
      これが理由で、AndroidタブレットはNexusしか選択肢に入らない。
      はやくNexus 4も日本で売らないかな。そうすればスマホもNexusにできるのに。

      親コメント
    • by Anonymous Coward

      Windows 3.1の時代はハードメーカーが独自にカスタマイズしたWindowsを売ってたよ。
      まあ当時は毎月セキュリティアップデートをリリースしたりする必要性そのものがなかったけど。

  • 既知の脆弱性 (スコア:2, すばらしい洞察)

    by masakun (31656) on 2013年04月20日 11時38分 (#2367345) 日記

    >Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったもの

    最大の脆弱性は「エロ」とか「無料」に弱いスマートフォンユーザー自身だと思うけど。

    • Re:既知の脆弱性 (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2013年04月20日 11時52分 (#2367354)

      あほか
      問題を問題と認識していないユーザ自身の問題ではないわ。
      問題を問題と捉えても問題を解消しない(できない)製品を
      作り出す製品を作ってる会社とそれを売り出す会社だわ

      親コメント
      • Re:既知の脆弱性 (スコア:3, すばらしい洞察)

        by renja (12958) on 2013年04月20日 12時00分 (#2367358) 日記

        深刻な脆弱性が発見されたらリコール適用して無料回収・交換さるくらいしないと、
        メーカー側は反省しないんじゃないでしょうか?

        エロや無料に飛びついて被害にあうユーザーもたしかに問題ですが、
        こういった人格エラーはもはや修正しようもありませんし、製品の抱える問題とは別の話ですね。

        --

        ψアレゲな事を真面目にやることこそアレゲだと思う。
        親コメント
        • 神が訴えられた話ってあったよね。
          アメリカの州議会議員が神を提訴 [srad.jp]

          セキュリティホールに対する製造物責任がどうこうみたいな話もあったような気がするが、
          ネタ話だっけかな?

          --
          ぽぇんぷしゅう。
          親コメント
        • by Anonymous Coward on 2013年04月20日 20時17分 (#2367553)

          >深刻な脆弱性が発見されたらリコール適用して無料回収・交換さるくらいしないと、
          >メーカー側は反省しないんじゃないでしょうか?

          そういう状況になるとますますメーカーは広く実害が行き渡って社会問題になるまでは、深刻な脆弱性を脆弱性と認めないと思うよ。
          そして残念なのはそういうモラルのないメーカーがいわゆる大企業も含めて多いこと。
          なぜならそういう戦略のほうが利益が大きい(支出がすくなくてすむ)からね。
          そういうことでもやってないと敵対的買収も多い昨今生き残れないんでしょうね。

          親コメント
        • by Anonymous Coward

          過渡期なんで2.3系以降アップデートを提供しなかった端末を量産したメーカーが
          多すぎですわね。中古端末以外怖くてスマートフォンは手が出ないですな。
          主流を取れないと見切りをつけたメーカーと売り切り
          しか考えてないメーカーの製品を買った時点で諦めろという話かも。

          • by Anonymous Coward

            それは機能向上のためのアップデートですか? それともセキュリティ改善のためのアップデート?

            • by Anonymous Coward

              別に混同しているわけではないです。過渡期なんで追随したメーカーも
              費用対効果で続かず脱落してゆく現状だろうと。セキュリティーアップデートもしかり。
              2013/4時点の現在も2.3.3が40%を占める現状をみるにそもそも携帯電話の
              閉じたプラットフォームと違う環境に適応できないのだろうとユーザー視点で思う。
              なので使い捨て端末として中古でお安く手に入れる程度のものだと。

      • Re:既知の脆弱性 (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2013年04月20日 15時27分 (#2367430)

        加えて言うと、多くの場合、root権限はユーザーは取らないで使うことをメーカーとキャリア側に求められていますね。
        それはつまりユーザーは自分の所持している端末について完全な管理の責任を負えず、自分でOSアップデートを行えないということです。
        Windowsパソコンのユーザーのほとんどすべては毎月のアップデートで何が修正されているのか把握していませんが、それが必要であるということは知っています。(理解しているとまでは言えないかもしれませんが。)
        スマートフォンでもハックして色々できますが、それはメーカーとキャリアは認めていません。
        それでいてメンテナンスはメーカーとキャリアが行わないというのなら、そもそもスマートフォンを売るべきではありません。

        親コメント
      • by Anonymous Coward

        車は人間を轢き殺すから、自動車メーカーに責任を負えと言われても困るの

        • by lcc (46023) on 2013年04月20日 13時13分 (#2367382) 日記

          その例えはおかしい。

          車に例えるなら、
          「小石踏んだら制御不能になるから直せ」
          ってレベル。

          親コメント
          • by Anonymous Coward on 2013年04月20日 17時52分 (#2367492)

            しかも直せとは言ってない。「直せないなら欠陥品を廃車したときに違約金を徴収するのをやめろ」と言っているだけだ。

            親コメント
        • by Anonymous Coward

          エッチなホテルに入っただけなのに、勝手に人に危害を加えるようになるバグのある車だったら、メーカーの責任にしてもいいですか?

        • by Anonymous Coward

          AppleがiOSやMacOSの脆弱性を放置したとしたらどうなるか、というのに近い状況ですが。
          あるいは自動車で言うなら器械的あるいは制御ソフト的な不具合で運転者の意図にない危険な動作を行うとか。(自動車メーカーは自動車の不具合には責任は無いという立場をとるのなら#2367368の主張に一貫性はありますが。)
          端末の動作に必須のソフトがあって、そのメンテナンスを行わないのなら製造者の責任はあると思いますよ。
          ソフトウェアが入っていない端末でユーザーが自分でインストールしてねという端末としてではなく、Android端末として販売した以上は製造者に最低限の責任はあるでしょう。
          こういうメンテナンスも行うことを義務付けるのであれば端末代に跳ね返る可能性がありますが、危険な状態の端末を使うよりもユーザーの利益にかなうでしょうね。

    • by Anonymous Coward on 2013年04月20日 11時55分 (#2367355)

      そればっかりは製造者にバグフィックスされてしまっては困る

      親コメント
  • by Anonymous Coward on 2013年04月20日 12時26分 (#2367369)

    売り逃げするような端末メーカーの選択はかえってコストがかかって、ちゃんとメンテするメーカーのほうが長期的にコストが安くなる、というようなインセンティブを上手に設計できればいいですね。

    そうすれば、無駄にandroidを派生させるクソ端末も減ることでしょうし、端末を買わせるためだけに端末毎にいちいち新機軸を出してくるような間抜けな商売も根絶できるでしょう。

    • どんなメンテしたところでハードの旧式化は止まりませんからねぇ・・・
      扱うデータが年々重く巨大になってるので、
      ちゃんとメンテしたところで焼け石に水的なところも。

      ここ数年の端末だと、内蔵フラッシュが500MB無い物も有りますから、
      OSのメンテしたところでたいしたソフトも突っ込めないなんて結果に。
      アプリの肥大化はどうしようもないですしねぇ・・・

      アプリ突っ込めなかったらスマートフォンなんて単なる板ですからね・・・
      ガラケーのがよっぽどかマシってな結果に。

      親コメント
      • うちで使ってたSO-01Cなんて正にこのパターンですね。
        内蔵フラッシュが384MBしかないので、ドコモ版のみ4.1アップデート見送りとか
        GmailとかFaceBook、Map等キャッシュで容量食うものを使うとあっという間に容量不足に。

        2年も経つと買い替えようかって気にもなりますね。バッテリーもへたれてくるし、
        ボタンやボディの塗装も痛み始めるし。

        親コメント
    • by Anonymous Coward on 2013年04月20日 14時13分 (#2367408)

      ARMはPCと違って規格化されていないので、どう作ろうとメンテにはカネかかります。

      親コメント
      • by Anonymous Coward

        それこそ目先の安さに飛びついて規格化をサボったツケじゃん。

    • by Anonymous Coward

      何となく、らくらくホンが思い浮かびましたが
      端末側に色々制限をかけてあるようですが、ユーザーの意識が低そうです。
      何かあったとき、どうするんでしょうね。

      恐らく、システムやセキュリティ意識の低いユーザーを対象に販売してるわけで、
      その層に云々言っても聞く耳も持たない気がします。

      Kindleユーザーはまだ詳しそうなイメージですが。

    • by Anonymous Coward

      計画的陳腐化しないと新製品が売れないからね。

      セキュリティホールがある端末は、新しく買い替えてくれってのがメーカーの本音でしょう。

      • by Anonymous Coward

        やっぱ「端末」で儲けようとするとそうなるんだよね。
        かといって、そうじゃないと端末を作ってるメーカは困るわけで。
        キャリア側でよろしくやってもらうしかないんじゃないかなぁ。

        # 今や携帯・スマフォも、装置ではなくサービスを買ってる状態だしね

        • by Anonymous Coward

          PCもハードウェアメーカーは端末を買い換えさせないと儲からないと思うんだけど。
          OSがいくら売れたって儲かるのはMicrosoftだけじゃん。

      • by Anonymous Coward

        Androidスマホで、セキュリティホールが無い端末が存在するとは思えないけど。

    • by Anonymous Coward

      長く使える=消費者が長く金を払わない=メーカーが儲からない
      資本主義の仕様バグにより、どんどん使い捨てさせる方向にばかりインセンティブが働きます。

  • by Anonymous Coward on 2013年04月20日 13時59分 (#2367403)

    イノベーションには代償が必要だとかGoogleのなかのひとは言いそうですね。

  • by Anonymous Coward on 2013年04月20日 11時58分 (#2367357)

    オフトピ気味ですが、アメリカ(北米?)でも携帯電話契約の2年縛りがあるんでしょうか?

    • Re:2年縛り (スコア:4, 参考になる)

      by Anonymous Coward on 2013年04月20日 13時01分 (#2367377)

      ありますよ。

      キャリア名(VerizonとかSprintとかT-mobileとか) +
      2 year contract (2年契約)や、early termination fee (いわゆる違約金)で調べれば良いかと。

      親コメント
  • by Anonymous Coward on 2013年04月20日 13時54分 (#2367401)
    Andoridにウィルス対策は不要とかって、どっかの偉い人が言ってなかったっけ?
    マルウェアの配布元になってるGoogle Playを何とかしてくれ。または、アプリのアクセス権を個別に許可できるようにしてくれ。
    • by Anonymous Coward

      常に最新版を使えばいい。
      オープンソースは、脆弱性を隠すのではなく。見つかり次第直ぐに修正するやり方、
      大抵無料で配布されている訳だし。使わない理由もないだろ。

  • by Anonymous Coward on 2013年04月20日 15時09分 (#2367420)

    脆弱性放置も困るけど、
    root取れなくなるのも困る

  • by Anonymous Coward on 2013年04月20日 16時29分 (#2367451)

    この問題は、究極には端末の製造や販売と回線契約の完全アンバンドルしかないでしょうなぁ。
    ただそうなるとキャリアは否応なく土管に徹するしか無くなるので、収益の悪化で地方のエリア展開が手薄になるとかありそう。

    • by Anonymous Coward

      現在はグーグル、キャリア、端末メーカーと三社が開発にからんでいて、ユーザーに対してはキャリアが責任を負っているわけだが
      それがバラバラになってどこも責任を取らなくなるだけだぜ?
      グローバルモデルなんてOSのアップグレードの予定を取り消すことなんてザラだし、セルスタンバイ問題が起きても(当たり前だが)感知せずだ

      それでも安さが命の俺みたいな人間ばかりならいいがね

  • by Anonymous Coward on 2013年04月20日 17時27分 (#2367473)

    Googleからアップデートきたパッチを当てようとしたら、
    カスタマイズ部分とconflictしましたとか、あっさりマージできましたとかすぐわかるようなソース管理してないんでしょうか。

    あと同じメーカー内で同じチップメーカーの(世代は異なれど)つかってるとすれば、ある程度自社カスタマイズ部分が使いまわせてないのか、毎回コンセプト変わるのでゼロからですとか恐ろしいことやってるんですかと。

    まだまだやり方の改善でいける部分ってありそうです。

  • by Anonymous Coward on 2013年04月20日 17時49分 (#2367487)

    その代わり、希望者にルート権限をよこせ。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...