パスワードを忘れた? アカウント作成
14130108 story
バグ

2019年に報告された脆弱性が最も多い製品はAndroid 93

ストーリー by headless
製品 部門より
VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート9to5Googleの記事)。

データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。

一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。

なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Android 10なら安心 (スコア:3, 参考になる)

    by Anonymous Coward on 2020年03月08日 19時37分 (#3775335)

    昔のAndroidはメーカーがパッチを出すまで3~6ヵ月かかったり、毎月パッチ出さずに3か月に1回ぐらいしかパッチが出なかったり、販売終了から1年ぐらいでパッチを全く出さなくなったりしたので、使い物にならず、セキュリティ意識が高い人はiPhone一択でした。

    しかし、Android 10では従来のバージョンのAndroidと違ってメーカーの対応を待たずにGoogle側が月例パッチを出せるようになりました。
    つまりはメーカー問わずに月例パッチを毎月適用できるようになったわけです。

    脆弱性が多いとはいっても、1か月で修正されるので、Windowsと同程度には安全ではないでしょうか。

    • by Anonymous Coward on 2020年03月08日 20時03分 (#3775342)

      しかし、Android 10では従来のバージョンのAndroidと違ってメーカーの対応を待たずにGoogle側が月例パッチを出せるようになりました。

      ただしハードごと固有のドライバ周りを除く
      をつけないと

      つまりドライバ周りの脆弱性はあいも変わらず
      3~6ヵ月かかったり、
      毎月パッチ出さずに3か月に1回ぐらいしかパッチが出なかったり、
      販売終了から1年ぐらいでパッチを全く出さなくなったり

      Qualcommとかがクローズドソースもののアップデートを出さなければ
      たとえ海外版でBootloader Unlockして自前で焼ける環境であったとしても更新不能

      Android 10でも本質的には解消しないんじゃいかな

      # 割り切って遊び道具にする分には引き続き楽しめるとは思う

      親コメント
      • by Anonymous Coward on 2020年03月09日 9時19分 (#3775495)

        メーカー提供のドライバーから改造しているのなら、という条件をつけないと。
        AndroidのデバドラはLinux kernel用ドライバーとほぼ同義で、ディスプレイドライバーが違う他はデーモン類が専用で、独自機能の実装やチューニングによってそれらを改造する必要が生じているのか次第。

        親コメント
    • by Anonymous Coward on 2020年03月08日 20時39分 (#3775352)

      脆弱性が多いとはいっても、1か月で修正されるので、Windowsと同程度には安全ではないでしょうか。

      ほう!
      …やっぱりMac iPhone iPadしか選択肢は無いのか…

      # 特にWindowsは半年ごとにUIが様変わりして俺には無理orz

      親コメント
    • by Anonymous Coward

      それは素晴らしい!
      Android 9から10になった端末はどうなるんだろう。
      手持ちに二台Android 9の端末があるので。
      一台は10になる予定がある。新型コロナウイルスの影響か、予定より遅れているけど。
      そしてもう一台は最初からProject Trebleな端末だけど、セキュリティアップデートが来なくなった・・・。

    • by Anonymous Coward

      どの程度までのパッチが配信されるようになるのかわからない
      例えばKr00kとかには対応できるのだろうか

      WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表
      https://security.srad.jp/story/20/03/02/1233248/ [security.srad.jp]

    • by Anonymous Coward

      これもAndroid 10ならどの機種でもってわけではないよね?
      うちのEssentialは使えてないし。
      Android 10で出荷される機種なら良いのかね?

  • by Anonymous Coward on 2020年03月08日 19時37分 (#3775336)

    結局Androidは、Linuxの設計由来の限界でWindows Updateのような中央集権的なアップデートができず、
    代わりにユーザーの自由を制限することで、すなわちユーザーに管理者権限を与えず、
    かつ原則的にストア以外からのアプリインストールを禁止することで、
    システム全体としての安全性を確保するエコシステムだと理解している。

    これはこれで一つのあり方だろう。脆弱性の件数だけでエコシステム全体の安全性の判断はできない。

    OSとしてWindowsと比べると見劣りするけど。Windowsは…もはや賞賛するしかない。

    • OSとしてWindowsと比べると見劣りするけど。Windowsは…もはや賞賛するしかない。

      そりゃ、各ベンダーが独自にカスタマイズしているAndroidの脆弱性件数と
      1ベンダーが開発しているWindowsの脆弱性件数は60件程度の差しかなく、
      ベンダー別だとMicrosoftがトップなんだから、
      WindowsはAndroidと比べて・・・だろ?

      • by Anonymous Coward

        そりゃ、各ベンダーが独自にカスタマイズしているAndroidの脆弱性件数

        今回の集計って個別の端末由来のは含まれてないっぽいけど。
        ざっとしか見てないけど、単純にGoogleが公開してるカスタマイズされてないAndroidの脆弱性件数に見受けられた。

        # Windowsだってベンダーが独自にプリインストールしてるユーティリティソフトの脆弱性まで「Windowsの脆弱性」とはカウントせんでしょうし

    • by Anonymous Coward

      上のコメントでは、Googleがメーカー問わずアップデートを配信するようになったそうだが…これは中央集権的なアップデートではないのか?Linuxが中央集権的アップデートするのを妨げている「設計に由来する限界」というのは具体的に何なのだろうか?

      • by Anonymous Coward

        ベンダーがカーネルに手を入れすぎ。そんなのベンダーしかサポートできない。

        • by Anonymous Coward

          カーネルに手を入れることができることは、「設計に由来する限界」なのだろうか?

          • by Anonymous Coward on 2020年03月09日 2時50分 (#3775440)

            エコシステムとしては「設計に由来する限界」じゃないかな。

            Linuxの場合、ドライバに使うLKMのAPIやABIが結構簡単にコロコロ変わるので、
            脆弱性のあるドライバだけ更新したくても、カーネルのビルドが必要なパターンが有ります。
            APIやABIが安定してれば、カーネルだけ更新とかドライバだけ更新とかWindowsみたいに気軽に出来るのですが、
            Linuxの場合はカーネルのビルドが必要=メーカーの改変内容の適切な適用とビルドが必要となるパターンが多い。
            それを何とかしようとしてるのが、Project Treble(メーカー改変部の分離)とか、Project Mainline(一部モジュールの分離)

            ちなみに、Android 10でGoogleが配信出来るようになったのも一部分。
            APIやABIの変更を吸収する仕組みを入れてAndroidシステムのWebView [google.com]みたいな感じで、
            脆弱性の宝庫なモジュール(メディアフレームワーク回りとか)を更新可能になったって話です。
            # セキュリティ情報 [android.com]見ればわかりますが、メディアフレームワークは毎月のようにアレなバグを量産してる。

            親コメント
            • by Anonymous Coward

              なるほど。LinuxにはABI・APIの互換性を保証し、カーネルのリビルドを必要とせず、メーカー側で用意したバイナリがアップデートにより動作しなくなることを防ぐ機構が存在しない。WindowsはABI・APIの互換性を担保できるように緩衝レイヤーが存在しているということか。

              • by Anonymous Coward

                LinuxのABIには互換性を持たない方針の内部のレイヤと、互換性を持たせる方針の外部のレイヤがある。
                幸か不幸か、ドライバは内部を使っている。

                Windowsのドライバは上記でいう外側に相当するものを使っている。
                でも、グラフィックカードのドライバモデルが変わったとかそういうのもあったはずだ。

    • by Anonymous Coward

      他の現代のディストリはほとんど自動アップデートが提供されていますが…
      その上Windows Updateみたいに時間がかかる上に頻繁に問題を起こすダサい仕組みじゃないよ。
      ちなみに設計由来の問題とは何をさして言っているのでしょう?

      • by Anonymous Coward

        Ubuntuのアップデートマネージャーで更新があるもの全部更新かけたら依存関係おかしくなってぶっ壊れたけど

        • by Anonymous Coward

          GUIでaptしたいレベルの人にはGNU/Linuxはまだ早い

          • by Anonymous Coward

            GNU/Linuxの品質が実用レベルにはまだ遠い

          • by Anonymous Coward

            20年前からタイムスリップしてきたのかな?最新のUbuntuのGUIは簡単に使えるよ、おじいちゃん。

        • by Anonymous Coward

          更新の前に自分で依存関係ぶっ壊してるんじゃないの?
          他のディストリのパッケージ無理やり突っ込んだり、野良ビルドしたりしてさ。
          昔そういうのよくやったよ。

          • by Anonymous Coward

            オフトピだけど、私の経験上、UbuntuはクリーンなLTS間のバージョンアップですら成功した試しがない
            みなさん何年も継続してUbuntuのデスクトップ環境を維持できてるの??
            Ubuntuは脆いイメージが確かにある

          • by Anonymous Coward

            クリーンインストールの状態から更新のあるものをまとめてアップデート、これだけで壊れる。
            これがLinuxクオリティ。

      • by Anonymous Coward

        パッケージの更新には管理者権限が必要なこと、管理ツールがそもそも複数あることなどから、
        ディストリ側でalternativesとか提供しても、ユーザーが選択するのはpyenvである点とか。

    • by Anonymous Coward

      俺はWindows結構好きだけど、一般ユーザー用途でも中央のアップデート手段は

      Windows Update
      Microsoft Store
      Chromium Edgeのアップデータ

      の3つある。そうなった理由は理解できるものだが、賞賛するようなものでもない。

    • by Anonymous Coward

      設計由来の限界とか無理にLinux叩きに走らなければそれなりに説得力ありそうだったのに

  • by Anonymous Coward on 2020年03月08日 20時58分 (#3775365)

    または、Apple以外に目玉が許されないのでは?

    # 某提督「最悪の民主政治でも最良の専制政治に優る」

    • by Anonymous Coward

      そのマカーは目玉が林檎に置き換わっていた。文字どおりAppleに目を奪われたようだ。

      -- Anonymous Coward

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...