パスワードを忘れた? アカウント作成
12544113 story
Android

脆弱性修正状況からみるAndroidの安全性調査 76

ストーリー by headless
状況 部門より
次々と脆弱性の見つかるAndroidだが、Googleが脆弱性を修正したにもかかわらず、端末メーカーやキャリアの都合で放置される端末も多い。英国・ケンブリッジ大学の研究チームでは、脆弱性の修正状況などからメーカーや機種、キャリア別にAndroidの安全性を調査している(論文: PDFSoftpediaの記事)。

調査対象はAndroidアプリ「Device Analyzer」が収集した20,400台分のデータで、独自に定義したFUMスコアにより評価している。FUMスコアは調査期間中に重大な脆弱性が報告されなかった端末の割合(F: free)、最新バージョンのAndroidがインストールされた端末の割合(U: update)、重大な未修正脆弱性の1日あたり平均(M: mean)から算出されるもので、10点満点となっている。

調査したAndroid端末全体でのFUMスコアは2.87点だが、Nexusに限定すると5.17点となり、Nexus以外は2.70点。メーカー別にみるとFUMスコアが最も高いのはLGの3.97点で、Motorola(3.07)、Samsung(2.75)、Sony(2.63)、HTC(2.63)、Asus(2.35)が続く。モデル別では3位までがすべてNexusで、Galaxy Nexus(4.71)、Nexus 4(3.69)、Nexus 7(3.25)の順。キャリア別ではO2 UK(3.87)、T-Mobile(3.81)、Orange(3.65)、Sprint(3.42)、3(3.39)、Vodafone UK(3.17)、AT&T(3.13)の順。

リストアップされたキャリアからみると調査対象は欧米のユーザーに偏っているようだが、バングラデシュやインドのキャリアも含まれる。また、急速にシェアを伸ばしている中国ブランドが含まれない一方で、バングラデシュのローカルブランドの名前がみられる。

論文ではAndroidのセキュリティーに関するボトルネックはメーカーであるとし、端末が安全かどうか、アップデートが提供されるかどうかをメーカーだけが知っており、ユーザーは知らないというレモン市場のようになっていると述べている。より広範囲のデータが集まれば、この状況も改善していくだろう。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年10月12日 21時58分 (#2898387)

    まずAndroidの脆弱性と言われて騒がれるものの半分以上は、
    メーカー製端末では再現しないものです
    AOSPでは意図的に放置されていても
    ライセンスを結んだメーカーにはすでに既知のものでとっくに対策済みだったり、
    良くも悪くもメーカーが自分で実装しているセキュリティ対策などによる効果になります。

    残りのうちの大部分は
    「機種に合わせてTAS(ツールアシステッドスピードラン)できっちり詰めたうえで、
     さらにリセットパターンを使いこなすくらいしないと発生しない」
    ものがほとんで、
    実際の端末で問題が起きたことが報告されたら対応するという対処で十分なものですね。

    上記理由もあって、たとえば日本でのAndroid端末が
    「あれ?実は全然問題なんて起きてないじゃん」になっています。
    まずこの現実を理解してから「で、Androidって危険なの?」を論じる必要があります。

    これに対する反論は、日本のAndroid端末がみんなクラックされて被害が莫大に出ている状況でない限りは成立しませんし、
    それを無視して危険危険と言い出すならAndroidなんてもう関係ありませんね。
    なんでもかんでも危険と言いたいだけだろというお子様論理に成り下がります。

    • by uxi (5376) on 2015年10月13日 12時59分 (#2898732)

      今時クラックされたことが素人目にも分かるような間抜けなマルウェアを前提にするわけじゃあるまいし、

      「あれ?実は全然問題なんて起きてないじゃん」

      って何をどうやって認識すれば良いんですかね?

      現実を見た上で判断すべきと言うのはごもっともですが、
      キャリアやメーカーに求められているのは、
      脆弱性データベースに登録されている情報に対して、
      うちのこの端末は影響受けませんとか
      このアップデートで潰しましたって情報開示であって、
      これなくして現実に起こっている状況を把握すら出来ません。

      脆弱性の発表の頻度に比べて
      システムのアップデート頻度が少な過ぎるんじゃね?
      って印象持たれて不安を感じさせてる時点で
      その辺の説明責任を果たせてないんだと思いますよ。

      キャリアやメーカーが何もしてないとか、取り組みが不十分というのは、
      根拠を示せと言われても無いことの証明なので出来ません。
      やっているなら、やっているなりに、
      やっていることを知っている人がきちんと根拠を示して
      安全だと言ってもらわないと、
      少なくとも発表されている脆弱性に対しては
      安全である根拠が不十分であるため危険としか言いようがないんじゃないでしょうか?

      --
      uxi
      親コメント
      • 公開されてる情報もばらばらでどこでどう公開されてるのか分からないし
        キャリアやメーカーで端末ごとにばらばらに対応されてもわけが分からない。
        とりあえず trunk に追従してくれないと安心感の欠片もない
        って事です。

        その点 iOS や Windows 10 Mobile は一元管理されるので分かり易いでしょう。

        --
        uxi
        親コメント
      • by Anonymous Coward

        >って何をどうやって認識すれば良いんですかね?

        悪魔の証明って言葉を知ってますか?
        あなたが「被害が起きている」を証明すればいいんですよ。簡単ですね。

        これに反論するなら、まずあなたは「絶対にAndroidよりもiOSやWinのほうが安全である証拠」を出してください。
        これは「絶対に」通用するものでなければなりません。
        「絶対ではないソースも全部否定します」し、「あなたの思い込みも決めつけも一切認めません」。

        それもしないで他人に悪魔の証明を求めていいと思っているあなたの思考がおかしいだけです。

        • by Anonymous Coward

          悪魔の証明の誤用。
          対策済みと報告するだけでよいのに報告していないのを問題視しているのが五十歩百歩 by uxi (5376) on 2015年10月13日 12時59分 (#2898732)の趣旨でしょ。

          • by Anonymous Coward

            > 対策済みと報告するだけでよいのに報告していないのを問題視しているのが五十歩百歩

            あなたはアンチAndoridの思考が強すぎて他人が明確に書いていることすら読まないんですね
            さすがに礼儀がなさすぎます。

            > 残りのうちの大部分は
            > 「機種に合わせてTAS(ツールアシステッドスピードラン)できっちり詰めたうえで、
            >  さらにリセットパターンを使いこなすくらいしないと発生しない」
            > ものがほとんで、
            > 実際の端末で問題が起きたことが報告されたら対応するという対処で十分なものですね。

            と書かれているわけですが?
            実際に問題が起きないのだから報告

            • by contradiction (40622) on 2015年10月13日 15時53分 (#2898867)

              >すべてのAndroid機種についてきっちり調査し、一般に認められるレベルの記事として公表するのが筋です。

              それこそが「悪魔の証明」ではないのですかね?

              親コメント
            • by Anonymous Coward

              お前の狂った思考がやばい。
              端末メーカーのカスタム部分は端末メーカーが一番情報を持ってるはずだし、端末メーカーが「Android一般の脆弱性が報告されたがうちのは対策済み」と報告すればよいでしょって話。
              それなのに「そんなの攻撃受けてから端末メーカーは何かすればいい」って繰り返してるだけなのがお前。
              脆弱性の報告、実際の攻撃の報告、これらは別のこと。そして脆弱性の報告の段階で通信機供給者にはその検証と対策が求められている。
              それをごちゃまぜにして語った挙げ句相手を狂信アンチと認定し始めるお前には知識と人格の双方に問題を感じる。
              お前みたいな論で語るなら、Windowsのタブレットでスパイウェア混入しおまけにそのスパイウェアが脆弱性持ちという問題起こしたレノボも、攻撃が行われるまで放置でいいという論が成り立つ。

              これはセキュリティのための技術的な話でもありつつ、それを前提にした通信機供給者とユーザーやセキュリティ技術者とのコミュニケーションの話でもあるんだよ。

    • >まずAndroidの脆弱性と言われて騒がれるものの半分以上は、

      半分でも放置されてたら脅威だとは思わないのならイイね。

      親コメント
    • by Anonymous Coward

      Androidは危ない、という印象もたれなくないなら、メーカーがちゃんと「うちのは全然問題ないぜ」ってアピールするべきだろ。
      特に日本のメーカーはマーケティングやブランディングがクソすぎる。
      ずっとキャリアにおんぶに抱っこやってきたからしょうがないけど。

      脆弱性を修正するのは当然として、それをちゃんとやってるのかどうかもわからないし、
      そもそも新しいOSのバージョンが出ても対応することはないのは現実なわけで、怠慢と思われてもしょうがない。

      最終的な対応は通信キャリアやってるようだけど、アップデート見ても表面的なソフトのバグ修正ばかり。脆弱性修正情報は見当たらない。
      Docomo https://www.nttdocomo.co.jp/support/utilization [nttdocomo.co.jp]

      • >Androidは危ない、という印象もたれなくないなら、メーカーがちゃんと「うちのは全然問題ないぜ」ってアピールするべきだろ。

        「ネットは危ない」で良いよね。

        現実世界も十分危ないか。

        親コメント
      • by Anonymous Coward

        > Androidは危ない、という印象もたれなくないなら、メーカーがちゃんと「うちのは全然問題ないぜ」ってアピールするべきだろ。

        そんなことしたらAppleがなおさらムキになってAndroidは危険Androidは危険とねつ造情報工作するんだから無駄じゃん
        「Androidは危険だ教」総本山のAppleとそれの馬鹿な信徒は死ぬまで騙されてればいいんですよ、
        下手に刺激するとテロ行為で報復されるだけです。

      • by Anonymous Coward

        もちろん予算があればそれくらいやれるだろうけど・・・
        今はどこもスマホで利益出てないのに、旧端末にそこまで手間をかけれるメーカーがどれだけあるのか

        日本のメーカーが見つけて直した不具合は多数あって、それをGoogleへフィードバックして直してもらったことも多数あったが
        結局その努力もメーカー側の利益には結ばなくて、やり続けるメリットが・・経営的に難しくなってきているのが現状でしょうね。

    • by Anonymous Coward

      ルート化とかいわれていることが出来るのも大きな脆弱性ですしね。

  • by Anonymous Coward on 2015年10月12日 20時20分 (#2898328)

    >Androidのセキュリティーに関するボトルネックはメーカーであるとし
    日本においてはそれ以上に通信キャリアがボトルネック。
    他国ではアップデートが始まっているのに日本はキャリアサービスのアプリの対応や確認が遅いため
    アップデートが遅かったりそもそもアップデートすらされないことがよくある。

    • by nemui4 (20313) on 2015年10月13日 18時05分 (#2898983) 日記

      >他国ではアップデートが始まっているのに日本はキャリアサービスのアプリの対応や確認が遅いため

      遅いんじゃなくて、対応できないんじゃないすかね。
      元からまともに使えないアプリばかりで似たような他のアプリのほうが使いやすいし。
      質問してもトンチンカンな定形回答文しかよこさない使えないサポート部隊。
      削除できるのは削除してるからいいけど使っても居ないアプリのせいで脆弱性に対応できないってのは悪い冗談だけど日本のキャリアではそれが現実。

      親コメント
    • by Anonymous Coward

      >通信キャリアがボトルネック
      docomoのNexus5に踏み切るかどうかの悩みどころがこの一点。
      ちゃんとupdateの配信あるんかな。

      • by Anonymous Coward

        docomoのサポートに期待するのは無駄というものです。
        GALAXY NEXUS "maguro"は4.3までサポートされましたが、
        docomo版のSC-04Dは4.2でアップデート終了しました。

  • by Anonymous Coward on 2015年10月13日 2時16分 (#2898481)

    ターゲットになるほど数がいませんよ!

    (IS01ユーザー)

  • ということなので脆弱性の修正も必要ないと思ってるんじゃ?

  • by Anonymous Coward on 2015年10月12日 18時13分 (#2898251)

    Googleやメーカーからのアップデートがないならある程度は仕方ないけど、
    国内キャリア版だけアップデートが無いとか、
    まず総務省が指導すべき案件だよな…

    •  Androidのハードウェアを基本的な部分で統一して、googleが出すAndroidをそのまま適用できればいいですねぇ。
       で、各機種固有のデバイスはメーカーがドライバを配布すればOK。
       Windowsではできて、どうしてAndroidではできないんだろう。
      親コメント
      • by Anonymous Coward

        Windowsに対するアドバンテージがそこにしかないのに...
        メーカーが改造できるから、メーカーが採用しているだけ。

      • by Anonymous Coward

        > Windowsではできて、どうしてAndroidではできないんだろう。

        Microsoftが何年OS作ってきて、経験を積んできたと思ってるんですか。

    • by Anonymous Coward

      でも、古い機種を使い続けられると新製品が売れなくなり、メーカー的には苦しい立場になるんだよね。
      もし古い機種もサポート続けて欲しいなら、キャリア等からもっと多くのお金がメーカー側に回るようにしないと、今後もっと悲惨なことになるかも?

      • 国内メーカーは、発売開始から1年~2年ぐらい経過した端末に対して、セキュリティパッチを含むパッチを一切提供していないことが多いです。

        しかし、新しい機種であっても、セキュリティアップデートが配信される場合もあるだけであって、パッチが出るまで数か月かかったり、パッチが提供されなかったりしている脆弱性も数多くあります。

        残念ながら、日本メーカーのキャリアモデルについては、新しい機種であっても安全ではありません。Android 4.3 以前 は WebView があまりにも危険すぎるので例外ですが、Android 5 のみに存在する脆弱性も結構あるので、今使っているのが Android 4.4 以降であれば、新しいキャリアモデルへの乗り換えで安全性が増すかどうかも疑わしいです(昔の脆弱性が無くなる代わりに新しい脆弱性の危険に晒される)。

        安全な Android が欲しいのならば Nexus しかありませんが、それでも Windows と比べるとかなり危険ですので、Windows タブレット(SIM装着可能なモデル)が良いと思います。

        通話もIP電話を使えば良いだけで、Bluetooth イヤホン(マイク付き)を使えば、タブレットをカバンに入れたままでも通話できてスマホを手にもって通話するより便利です。しかし、唯一問題があり、日本では町中でハンズフリー通話をしていると「誰もいないのに独り言言っている気違い」だと思われ、周囲の人に避けられてしまいます。アメリカや東南アジアではハンズフリー通話が一般的で、町中で良く見かけますが、日本は何故か電話は手に持つものという古い概念にとらわれています。これが、日本でタブレットが普及しない大きな要因となっていると思います。

        親コメント
        • by Anonymous Coward

          OSどころかハードウェアの欠陥があらたに増えてるので買い換えたくないってのが正直なところ
          新機種の方が不具合増えていく

      • by Anonymous Coward

        ゲーム機を2年で買い替えるとか、固定電話機を2年で買い替えるとか、TVを2年で買い替えるとかないわけで、スマフォが異常なんだよね。
        Windowsなんて10年サポートするのに、スマフォはiPhone除いたら平均1.5年ぐらい?
        iPhoneはiPhoneで最新のOSを旧機種にも強制するから、スペック的につらいという話もあるし。

        スマフォはそういうものだというなら、それでもいいけど、サポートが切れたスマフォはネットワークから強制的に切り離してほしいね。

        • by Anonymous Coward

          こういう消耗品でしか稼げない企業は、いずれ衰弱するんだよね。
          オーバースペックなインクジェットプリンターを隔年で10万出して買うのが、正しいかどうか冷静に考えたらいい。

          • by Anonymous Coward

            どうするのが正しいんだろうね。
            スマートフォンもガラケーもない、メールとSMSだけのシンプルフォンに戻るのが正しいということなのでしょうかね。
            通信方式が、数年ごとに変わっていくわけですから、いわゆる無線機というものは消耗品ですよね。

            • by Anonymous Coward

              実際、基地局ベンダはHuwaei以外どこも死にかけてるわけですが。

            • by Anonymous Coward

              機能としては受発信のみだけど、厚み4mm、重量38.5g、サイズはクレジットカードサイズで価格100ドルというthe light phon [kickstarter.com]がkickstarterで人気を集めてましたね。

              自分はこれで十分なんですけど日本国内では使えないのが残念。

      • 新製品に乗り換えて欲しいならカタログスペックなんかよりも不具合のない端末を売り出してくれ。
        新機種が不具合抱えてそれでもごり押しって状況じゃ、馬鹿以外はわざわざ買い換えない。

        そりゃキャリアもiPhone一押しになるわな。一番マシだもの。

      • by Anonymous Coward

        新しい機種を売るんじゃなくてサポート費用を取ればいいんじゃないの?

    • by Anonymous Coward

      スマホ代がどうこう言う以前にこういうのやって欲しいですよね。

    • by Anonymous Coward

      > 国内キャリア版だけアップデートが無いとか、
      > まず総務省が指導すべき案件だよな…

      むしろ逆です

      国内では緊急電話などに対する要求が異様に厳しく、これは国が意図的にそうしています。
      なので日本キャリアが売った端末はそうそうアップデートできませんし、
      それが国が求める姿勢そのものです。

      例外はiPhoneで、あれはアメリカからの外圧のため治外法権状態です。
      さすがに日本もバカバカしいとSIMロック解除義務化などで対抗をはじめていますが。

  • by Anonymous Coward on 2015年10月12日 23時09分 (#2898416)

    ほんとにやばかったら大昔のconconアタックみたいなのが流行ってるんじゃないの?

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...