脆弱性修正状況からみるAndroidの安全性調査 76
ストーリー by headless
状況 部門より
状況 部門より
次々と脆弱性の見つかるAndroidだが、Googleが脆弱性を修正したにもかかわらず、端末メーカーやキャリアの都合で放置される端末も多い。英国・ケンブリッジ大学の研究チームでは、脆弱性の修正状況などからメーカーや機種、キャリア別にAndroidの安全性を調査している(論文: PDF、
Softpediaの記事)。
調査対象はAndroidアプリ「Device Analyzer」が収集した20,400台分のデータで、独自に定義したFUMスコアにより評価している。FUMスコアは調査期間中に重大な脆弱性が報告されなかった端末の割合(F: free)、最新バージョンのAndroidがインストールされた端末の割合(U: update)、重大な未修正脆弱性の1日あたり平均(M: mean)から算出されるもので、10点満点となっている。
調査したAndroid端末全体でのFUMスコアは2.87点だが、Nexusに限定すると5.17点となり、Nexus以外は2.70点。メーカー別にみるとFUMスコアが最も高いのはLGの3.97点で、Motorola(3.07)、Samsung(2.75)、Sony(2.63)、HTC(2.63)、Asus(2.35)が続く。モデル別では3位までがすべてNexusで、Galaxy Nexus(4.71)、Nexus 4(3.69)、Nexus 7(3.25)の順。キャリア別ではO2 UK(3.87)、T-Mobile(3.81)、Orange(3.65)、Sprint(3.42)、3(3.39)、Vodafone UK(3.17)、AT&T(3.13)の順。
リストアップされたキャリアからみると調査対象は欧米のユーザーに偏っているようだが、バングラデシュやインドのキャリアも含まれる。また、急速にシェアを伸ばしている中国ブランドが含まれない一方で、バングラデシュのローカルブランドの名前がみられる。
論文ではAndroidのセキュリティーに関するボトルネックはメーカーであるとし、端末が安全かどうか、アップデートが提供されるかどうかをメーカーだけが知っており、ユーザーは知らないというレモン市場のようになっていると述べている。より広範囲のデータが集まれば、この状況も改善していくだろう。
調査対象はAndroidアプリ「Device Analyzer」が収集した20,400台分のデータで、独自に定義したFUMスコアにより評価している。FUMスコアは調査期間中に重大な脆弱性が報告されなかった端末の割合(F: free)、最新バージョンのAndroidがインストールされた端末の割合(U: update)、重大な未修正脆弱性の1日あたり平均(M: mean)から算出されるもので、10点満点となっている。
調査したAndroid端末全体でのFUMスコアは2.87点だが、Nexusに限定すると5.17点となり、Nexus以外は2.70点。メーカー別にみるとFUMスコアが最も高いのはLGの3.97点で、Motorola(3.07)、Samsung(2.75)、Sony(2.63)、HTC(2.63)、Asus(2.35)が続く。モデル別では3位までがすべてNexusで、Galaxy Nexus(4.71)、Nexus 4(3.69)、Nexus 7(3.25)の順。キャリア別ではO2 UK(3.87)、T-Mobile(3.81)、Orange(3.65)、Sprint(3.42)、3(3.39)、Vodafone UK(3.17)、AT&T(3.13)の順。
リストアップされたキャリアからみると調査対象は欧米のユーザーに偏っているようだが、バングラデシュやインドのキャリアも含まれる。また、急速にシェアを伸ばしている中国ブランドが含まれない一方で、バングラデシュのローカルブランドの名前がみられる。
論文ではAndroidのセキュリティーに関するボトルネックはメーカーであるとし、端末が安全かどうか、アップデートが提供されるかどうかをメーカーだけが知っており、ユーザーは知らないというレモン市場のようになっていると述べている。より広範囲のデータが集まれば、この状況も改善していくだろう。
現実を書いておくと (スコア:2, 興味深い)
まずAndroidの脆弱性と言われて騒がれるものの半分以上は、
メーカー製端末では再現しないものです
AOSPでは意図的に放置されていても
ライセンスを結んだメーカーにはすでに既知のものでとっくに対策済みだったり、
良くも悪くもメーカーが自分で実装しているセキュリティ対策などによる効果になります。
残りのうちの大部分は
「機種に合わせてTAS(ツールアシステッドスピードラン)できっちり詰めたうえで、
さらにリセットパターンを使いこなすくらいしないと発生しない」
ものがほとんで、
実際の端末で問題が起きたことが報告されたら対応するという対処で十分なものですね。
上記理由もあって、たとえば日本でのAndroid端末が
「あれ?実は全然問題なんて起きてないじゃん」になっています。
まずこの現実を理解してから「で、Androidって危険なの?」を論じる必要があります。
これに対する反論は、日本のAndroid端末がみんなクラックされて被害が莫大に出ている状況でない限りは成立しませんし、
それを無視して危険危険と言い出すならAndroidなんてもう関係ありませんね。
なんでもかんでも危険と言いたいだけだろというお子様論理に成り下がります。
五十歩百歩 (スコア:2)
今時クラックされたことが素人目にも分かるような間抜けなマルウェアを前提にするわけじゃあるまいし、
って何をどうやって認識すれば良いんですかね?
現実を見た上で判断すべきと言うのはごもっともですが、
キャリアやメーカーに求められているのは、
脆弱性データベースに登録されている情報に対して、
うちのこの端末は影響受けませんとか
このアップデートで潰しましたって情報開示であって、
これなくして現実に起こっている状況を把握すら出来ません。
脆弱性の発表の頻度に比べて
システムのアップデート頻度が少な過ぎるんじゃね?
って印象持たれて不安を感じさせてる時点で
その辺の説明責任を果たせてないんだと思いますよ。
キャリアやメーカーが何もしてないとか、取り組みが不十分というのは、
根拠を示せと言われても無いことの証明なので出来ません。
やっているなら、やっているなりに、
やっていることを知っている人がきちんと根拠を示して
安全だと言ってもらわないと、
少なくとも発表されている脆弱性に対しては
安全である根拠が不十分であるため危険としか言いようがないんじゃないでしょうか?
uxi
長いので3行で別の言い方をすれば (スコア:2)
公開されてる情報もばらばらでどこでどう公開されてるのか分からないし
キャリアやメーカーで端末ごとにばらばらに対応されてもわけが分からない。
とりあえず trunk に追従してくれないと安心感の欠片もない
って事です。
その点 iOS や Windows 10 Mobile は一元管理されるので分かり易いでしょう。
uxi
Re: (スコア:0)
>って何をどうやって認識すれば良いんですかね?
悪魔の証明って言葉を知ってますか?
あなたが「被害が起きている」を証明すればいいんですよ。簡単ですね。
これに反論するなら、まずあなたは「絶対にAndroidよりもiOSやWinのほうが安全である証拠」を出してください。
これは「絶対に」通用するものでなければなりません。
「絶対ではないソースも全部否定します」し、「あなたの思い込みも決めつけも一切認めません」。
それもしないで他人に悪魔の証明を求めていいと思っているあなたの思考がおかしいだけです。
Re: (スコア:0)
悪魔の証明の誤用。
対策済みと報告するだけでよいのに報告していないのを問題視しているのが五十歩百歩 by uxi (5376) on 2015年10月13日 12時59分 (#2898732)の趣旨でしょ。
Re: (スコア:0)
> 対策済みと報告するだけでよいのに報告していないのを問題視しているのが五十歩百歩
あなたはアンチAndoridの思考が強すぎて他人が明確に書いていることすら読まないんですね
さすがに礼儀がなさすぎます。
> 残りのうちの大部分は
> 「機種に合わせてTAS(ツールアシステッドスピードラン)できっちり詰めたうえで、
> さらにリセットパターンを使いこなすくらいしないと発生しない」
> ものがほとんで、
> 実際の端末で問題が起きたことが報告されたら対応するという対処で十分なものですね。
と書かれているわけですが?
実際に問題が起きないのだから報告
Re:五十歩百歩 (スコア:1)
>すべてのAndroid機種についてきっちり調査し、一般に認められるレベルの記事として公表するのが筋です。
それこそが「悪魔の証明」ではないのですかね?
Re: (スコア:0)
お前の狂った思考がやばい。
端末メーカーのカスタム部分は端末メーカーが一番情報を持ってるはずだし、端末メーカーが「Android一般の脆弱性が報告されたがうちのは対策済み」と報告すればよいでしょって話。
それなのに「そんなの攻撃受けてから端末メーカーは何かすればいい」って繰り返してるだけなのがお前。
脆弱性の報告、実際の攻撃の報告、これらは別のこと。そして脆弱性の報告の段階で通信機供給者にはその検証と対策が求められている。
それをごちゃまぜにして語った挙げ句相手を狂信アンチと認定し始めるお前には知識と人格の双方に問題を感じる。
お前みたいな論で語るなら、Windowsのタブレットでスパイウェア混入しおまけにそのスパイウェアが脆弱性持ちという問題起こしたレノボも、攻撃が行われるまで放置でいいという論が成り立つ。
これはセキュリティのための技術的な話でもありつつ、それを前提にした通信機供給者とユーザーやセキュリティ技術者とのコミュニケーションの話でもあるんだよ。
Re:現実を書いておくと (スコア:1)
>まずAndroidの脆弱性と言われて騒がれるものの半分以上は、
半分でも放置されてたら脅威だとは思わないのならイイね。
Re: (スコア:0)
Androidは危ない、という印象もたれなくないなら、メーカーがちゃんと「うちのは全然問題ないぜ」ってアピールするべきだろ。
特に日本のメーカーはマーケティングやブランディングがクソすぎる。
ずっとキャリアにおんぶに抱っこやってきたからしょうがないけど。
脆弱性を修正するのは当然として、それをちゃんとやってるのかどうかもわからないし、
そもそも新しいOSのバージョンが出ても対応することはないのは現実なわけで、怠慢と思われてもしょうがない。
最終的な対応は通信キャリアやってるようだけど、アップデート見ても表面的なソフトのバグ修正ばかり。脆弱性修正情報は見当たらない。
Docomo https://www.nttdocomo.co.jp/support/utilization [nttdocomo.co.jp]
Re:現実を書いておくと (スコア:1)
>Androidは危ない、という印象もたれなくないなら、メーカーがちゃんと「うちのは全然問題ないぜ」ってアピールするべきだろ。
「ネットは危ない」で良いよね。
現実世界も十分危ないか。
Re: (スコア:0)
> Androidは危ない、という印象もたれなくないなら、メーカーがちゃんと「うちのは全然問題ないぜ」ってアピールするべきだろ。
そんなことしたらAppleがなおさらムキになってAndroidは危険Androidは危険とねつ造情報工作するんだから無駄じゃん
「Androidは危険だ教」総本山のAppleとそれの馬鹿な信徒は死ぬまで騙されてればいいんですよ、
下手に刺激するとテロ行為で報復されるだけです。
Re: (スコア:0)
もちろん予算があればそれくらいやれるだろうけど・・・
今はどこもスマホで利益出てないのに、旧端末にそこまで手間をかけれるメーカーがどれだけあるのか
日本のメーカーが見つけて直した不具合は多数あって、それをGoogleへフィードバックして直してもらったことも多数あったが
結局その努力もメーカー側の利益には結ばなくて、やり続けるメリットが・・経営的に難しくなってきているのが現状でしょうね。
たとえばroot可 (スコア:0)
ルート化とかいわれていることが出来るのも大きな脆弱性ですしね。
Re: (スコア:0)
実際の所本当にそういう件も少なからずある。
まあ流石にセキュリティ関連はそこまで多くないと思うけど。
メーカー側で新バージョン対応中にバグが見つかるとか珍しくないし
修正すると結果的にNexusの標準動作と変わらざるを得ないので判断に困ったりとか。
都度各メーカーからパッチ提出されているんでしょうが
不十分なパッチを取り込んでしまって更に面倒を引き起こしたりとか。
そういうの全部無視しちゃえば新バージョン対応が早くコストも下がる可能性はあるんですけどね。
Re: (スコア:0, すばらしい洞察)
> 実際の所本当にそういう件も少なからずある。
オープンソースを利用しておきながら、そこで見つけた脆弱性をフィードバックせずに、
自分だけこっそり直して使うなんて、只の陰険野郎じゃねーかw
Re:現実を書いておくと (スコア:1)
Re:現実を書いておくと (スコア:1)
窓口やサポート部隊に質問やクレームを何度か上げて、その度にこの件はメーカーや開発にまでエスカレーションできるのか聞いたら「そんな仕組みは用意されていませんので、できません」とのお言葉を頂いたっけ。
#d
Re: (スコア:0)
いろいろやってるのはいいかもだけど、現状ユーザーが希望してるのは、全部Android(Google)に任せるべき、ってことじゃないかな。
まさに一番最後の文の通り。
OSアップデートも容易になるし、セキュリティパッチもGoogleがリリースしてすぐに反映できる。
問題起きたらGoogleのせいだ、って言えばいいじゃん。Windowsパソコンメーカーだって、OSの問題まで責任もってないでしょう。
日本の場合 (スコア:1)
>Androidのセキュリティーに関するボトルネックはメーカーであるとし
日本においてはそれ以上に通信キャリアがボトルネック。
他国ではアップデートが始まっているのに日本はキャリアサービスのアプリの対応や確認が遅いため
アップデートが遅かったりそもそもアップデートすらされないことがよくある。
Re:日本の場合 (スコア:1)
>他国ではアップデートが始まっているのに日本はキャリアサービスのアプリの対応や確認が遅いため
遅いんじゃなくて、対応できないんじゃないすかね。
元からまともに使えないアプリばかりで似たような他のアプリのほうが使いやすいし。
質問してもトンチンカンな定形回答文しかよこさない使えないサポート部隊。
削除できるのは削除してるからいいけど使っても居ないアプリのせいで脆弱性に対応できないってのは悪い冗談だけど日本のキャリアではそれが現実。
Re: (スコア:0)
>通信キャリアがボトルネック
docomoのNexus5に踏み切るかどうかの悩みどころがこの一点。
ちゃんとupdateの配信あるんかな。
Re: (スコア:0)
docomoのサポートに期待するのは無駄というものです。
GALAXY NEXUS "maguro"は4.3までサポートされましたが、
docomo版のSC-04Dは4.2でアップデート終了しました。
安心してください (スコア:1)
ターゲットになるほど数がいませんよ!
(IS01ユーザー)
「AndroidやiOS、BlackBerry OSにウイルス対策アプリは必要がない」 (スコア:0)
ということなので脆弱性の修正も必要ないと思ってるんじゃ?
総務省は仕事しろ! (スコア:0)
Googleやメーカーからのアップデートがないならある程度は仕方ないけど、
国内キャリア版だけアップデートが無いとか、
まず総務省が指導すべき案件だよな…
Re:総務省は仕事しろ! (スコア:2)
で、各機種固有のデバイスはメーカーがドライバを配布すればOK。
Windowsではできて、どうしてAndroidではできないんだろう。
Re: (スコア:0)
Windowsに対するアドバンテージがそこにしかないのに...
メーカーが改造できるから、メーカーが採用しているだけ。
Re: (スコア:0)
> Windowsではできて、どうしてAndroidではできないんだろう。
Microsoftが何年OS作ってきて、経験を積んできたと思ってるんですか。
Re: (スコア:0)
例の黒い直方体はモノシルなのかどうか気になるところですにゃん
Re: (スコア:0)
人類をモノシリにしてくれたかも?
Re: (スコア:0)
でも、古い機種を使い続けられると新製品が売れなくなり、メーカー的には苦しい立場になるんだよね。
もし古い機種もサポート続けて欲しいなら、キャリア等からもっと多くのお金がメーカー側に回るようにしないと、今後もっと悲惨なことになるかも?
新しい機種に対しても、きちんとした脆弱性修正がされていない (スコア:2)
国内メーカーは、発売開始から1年~2年ぐらい経過した端末に対して、セキュリティパッチを含むパッチを一切提供していないことが多いです。
しかし、新しい機種であっても、セキュリティアップデートが配信される場合もあるだけであって、パッチが出るまで数か月かかったり、パッチが提供されなかったりしている脆弱性も数多くあります。
残念ながら、日本メーカーのキャリアモデルについては、新しい機種であっても安全ではありません。Android 4.3 以前 は WebView があまりにも危険すぎるので例外ですが、Android 5 のみに存在する脆弱性も結構あるので、今使っているのが Android 4.4 以降であれば、新しいキャリアモデルへの乗り換えで安全性が増すかどうかも疑わしいです(昔の脆弱性が無くなる代わりに新しい脆弱性の危険に晒される)。
安全な Android が欲しいのならば Nexus しかありませんが、それでも Windows と比べるとかなり危険ですので、Windows タブレット(SIM装着可能なモデル)が良いと思います。
通話もIP電話を使えば良いだけで、Bluetooth イヤホン(マイク付き)を使えば、タブレットをカバンに入れたままでも通話できてスマホを手にもって通話するより便利です。しかし、唯一問題があり、日本では町中でハンズフリー通話をしていると「誰もいないのに独り言言っている気違い」だと思われ、周囲の人に避けられてしまいます。アメリカや東南アジアではハンズフリー通話が一般的で、町中で良く見かけますが、日本は何故か電話は手に持つものという古い概念にとらわれています。これが、日本でタブレットが普及しない大きな要因となっていると思います。
Re: (スコア:0)
OSどころかハードウェアの欠陥があらたに増えてるので買い換えたくないってのが正直なところ
新機種の方が不具合増えていく
Re: (スコア:0)
ゲーム機を2年で買い替えるとか、固定電話機を2年で買い替えるとか、TVを2年で買い替えるとかないわけで、スマフォが異常なんだよね。
Windowsなんて10年サポートするのに、スマフォはiPhone除いたら平均1.5年ぐらい?
iPhoneはiPhoneで最新のOSを旧機種にも強制するから、スペック的につらいという話もあるし。
スマフォはそういうものだというなら、それでもいいけど、サポートが切れたスマフォはネットワークから強制的に切り離してほしいね。
Re: (スコア:0)
こういう消耗品でしか稼げない企業は、いずれ衰弱するんだよね。
オーバースペックなインクジェットプリンターを隔年で10万出して買うのが、正しいかどうか冷静に考えたらいい。
Re: (スコア:0)
どうするのが正しいんだろうね。
スマートフォンもガラケーもない、メールとSMSだけのシンプルフォンに戻るのが正しいということなのでしょうかね。
通信方式が、数年ごとに変わっていくわけですから、いわゆる無線機というものは消耗品ですよね。
Re: (スコア:0)
実際、基地局ベンダはHuwaei以外どこも死にかけてるわけですが。
Re: (スコア:0)
機能としては受発信のみだけど、厚み4mm、重量38.5g、サイズはクレジットカードサイズで価格100ドルというthe light phon [kickstarter.com]がkickstarterで人気を集めてましたね。
自分はこれで十分なんですけど日本国内では使えないのが残念。
メーカーは仕事しろ! (スコア:0)
新製品に乗り換えて欲しいならカタログスペックなんかよりも不具合のない端末を売り出してくれ。
新機種が不具合抱えてそれでもごり押しって状況じゃ、馬鹿以外はわざわざ買い換えない。
そりゃキャリアもiPhone一押しになるわな。一番マシだもの。
Re: (スコア:0)
新しい機種を売るんじゃなくてサポート費用を取ればいいんじゃないの?
Re: (スコア:0)
スマホ代がどうこう言う以前にこういうのやって欲しいですよね。
Re: (スコア:0)
> 国内キャリア版だけアップデートが無いとか、
> まず総務省が指導すべき案件だよな…
むしろ逆です
国内では緊急電話などに対する要求が異様に厳しく、これは国が意図的にそうしています。
なので日本キャリアが売った端末はそうそうアップデートできませんし、
それが国が求める姿勢そのものです。
例外はiPhoneで、あれはアメリカからの外圧のため治外法権状態です。
さすがに日本もバカバカしいとSIMロック解除義務化などで対抗をはじめていますが。
そうは言うけどさ (スコア:0)
ほんとにやばかったら大昔のconconアタックみたいなのが流行ってるんじゃないの?
Re: (スコア:0)
セキュリティ意識以前に、単純に最新の Android が使いたいっていうユーザが選ぶ機種ですもんね。
Re: (スコア:0)
いつから「まかー」は「真っ赤なウソ」の略になったんだ
Re: (スコア:0)
あんたバカ?
OSX 10.5はSingle UNIX Specification認定を受領。
WinNTはSFUで認証、
LinuxはUnifix Linux 2.0で認証。
Re: (スコア:0)
残念ながらWindows NTの時代はOSそのものにPOSIXサブシステムを搭載していますが。
SFUでの認証になったのはXP。Vista以降はSUA。
Re: (スコア:0)
POSIXとUNIXを混同している典型的なバカがここに一人
Re: (スコア:0)
なんつうか、とても恥ずかしいコメントですね