戻る

このページは以下URLのキャッシュです
http://ggsoku.com/tech/vendors-boosting-android-vulnerbility/

Androidの脆弱性の6割はベンダーによるカスタマイズが原因との研究結果 - Technity

Androidの脆弱性の6割はベンダーによるカスタマイズが原因との研究結果

2013年11月6日 16:27 │Comments(68)

Written by くまむん

ノースカロライナ州立大学のXuxian Jang氏らのグループはこのたび、Android OSを搭載したスマートフォンにおけるセキュリティ脆弱性の60%以上が端末メーカー(ベンダー)のカスタマイズが原因であるとする研究結果を発表しました。

android-vulnerbility

Android OSは、スマホやタブレット端末など全世界で2億台以上のデバイスに搭載されているOSです。その基幹部分はGoogleなどが開発していますが、実際の製品に組み込む過程では、サムスンやHTC・ソニーなどといった端末メーカー(ベンダー)が、独自のカスタマイズを行っています。

今回の研究では、これらのカスタマイズが端末のセキュリティにどのような影響を与えているかについて評価を行ったもので、Androidのバージョンの中では旧式であるAndroid 2.xを搭載しているものと最新版にあたる4.xを搭載しているもの、計10機種を対象としています。

実験の結果、Android 2.xでは一台あたり平均22.4個、Android 4.xの端末では平均18.4個の脆弱性が発見されたとのこと。これら脆弱性の具体的な内容としては、ユーザーの許可なく音声録音や通話・データ消去などを行なうことが可能になるといったもので、中には2.xよりも4.xがインストールされた端末で脆弱性が増えたケースも確認されているとのことです。

android-vendor-vulnerbility-01

今回、評価対象となった端末。表の一部を論文より引用。

Jiang氏によると、これらの脆弱性の60%以上は端末メーカーが実施しているファームウェア改造や独自APIなどが原因となっているもので、Google製端末であるNexus 4がこうした影響を最も受けていない(比較的に)”リスクの少ない” 端末であることがわかったとのこと。

端末をより便利にさせるはずのカスタマイズが、かえってセキュリティ上の不安を作り出しているのは何とも皮肉な結果ですが、ベンダー各社には早急な対応を臨みたいものです。参考までに、論文(PDF)はこちらから全文閲覧可能となっていますので、興味のある方はチェックされてみてはいかがでしょうか。

[Phys.org]

くまむん

著者 : くまむん@くまのんGetだぜ!

プロフィールと過去記事一覧

企業の研究所で家電関連技術の研究開発に携わっておりましたが、2013年4月をもって退職し、当サイトの専属となりました。今後ともよろしくお願いいたします。

68 件のコメント

  1. No Name 2013年11月6日 16:35 No.514914 返信

    もう全端末素のAndroidで出してくれよ。キャリアのプリインアプリとか要らん

    高評価: Thumb up 30 Thumb down
    • No Name 2013年11月6日 17:03 No.514958 返信

      アプリが入ってない!詐欺です!みなさん騙されないで!
      By価格.comレビュー

      高評価: Thumb up 27 Thumb down
      • No Name 2013年11月6日 17:05 No.514968 返信

        流石にそれを真に受ける人がいるとは思えんwww

        Thumb up 4 Thumb down
        • No Name 2013年11月6日 19:18 No.515314 返信

          ヤマダのTAB販売用POPで釣られる人もいるようだから・・・

          Thumb up 2 Thumb down
    • ガジェ大好き名無しさん 2013年11月6日 17:09 No.514977 返信

      でもそこで差別化しないとスペックなんか横並びであと値段とデザインぐらいしか差別化できるところないからな

      Thumb up 0 Thumb down
      • No Name 2013年11月6日 18:24 No.515192 返信

        減算方式でしか見られてない部分で差別化されても困る

        Thumb up 3 Thumb down
    • No Name 2013年11月6日 19:30 No.515339 返信

      とはいえ、ネクサス7初めて買ったがソフトウェアにメーカーのカスタマイズが入らないと糞みたいに使いにくいからな。

      まともなサービス出してから言ってくれとしかいえんな。

      Thumb up 1 Thumb down
      • No Name 2013年11月6日 19:37 No.515354 返信

        使いにくいならば必要なアプリ入れればいいじゃないですか。

        Thumb up 12 Thumb down
      • No Name 2013年11月6日 19:38 No.515356 返信

        ほら、世の中にはこういう人がいっぱいいるんだよ。

        Thumb up 12 Thumb down
      • No Name 2013年11月6日 20:06 No.515432 返信

        Nexus7とガラスマ使ってるけど、Nexus7の方が余計なもの入ってなくて快適だわ。
        かといって常に携帯するならモバイルSuicaは必須なんだよね。

        Thumb up 9 Thumb down
  2. No Name 2013年11月6日 16:39 No.514919 返信

    知ってた

    Thumb up 4 Thumb down
  3. No Name 2013年11月6日 16:44 No.514926 返信

    OS本体に40%も多すぎる気が…

    Thumb up 12 Thumb down
    • No Name 2013年11月6日 16:49 No.514929 返信

      だなぁ、60%以上って言い方してるってことは70%よりは少ないってことだろうから、OS自体の脆弱性は少なくとも30%は締めてるってことになるんよね…流石に多い。

      Thumb up 10 Thumb down
    • No Name 2013年11月6日 16:56 No.514937 返信

      割合の多寡について語ってもあまり意味が無いのでは

      Thumb up 4 Thumb down
      • No Name 2013年11月6日 17:00 No.514952 返信

        とは言え今回は平均幾つの脆弱性が発見されてる、っていう数字も出てきてるしなぁ。

        Thumb up 6 Thumb down
    • ガジェ大好き名無しさん 2013年11月6日 17:02 No.514955 返信

      その理屈だとカスタマイズがないiOSとかはOS自体が原因の脆弱性100%になるからw

      Thumb up 21 Thumb down
    • No Name 2013年11月6日 18:52 No.515262 返信

      IOSも不具合多いじゃん

      Thumb up 4 Thumb down
      • No Name 2013年11月6日 19:00 No.515275 返信

        不具合と脆弱性を一緒にしちゃダメでしょ

        Thumb up 3 Thumb down
        • No Name 2013年11月6日 19:22 No.515325 返信

          脆弱性が発見された数はiOSの方が多いみたいよ。

          http://internet.watch.impress.co.jp/docs/news/20130424_597383.html

          Thumb up 5 Thumb down
          • No Name 2013年11月6日 20:02 No.515418 返信

            ”iOSが危険ということではなく、iOSを研究しているセキュリティ専門家の数が多いことから、発見される脆弱性も多いのではないかとしている。
            一方、2012年のモバイルマルウェアをOS別に見ると、iOSが1件、Androidが103件、Symbianが3件、Windowsが1件で、Androidマルウェアの数が圧倒的だ。
            AndoridアプリはGoogle Play以外でも配布が可能であるのに対して、iOSアプリは配布マーケットがApp Storeに限定される。しかもiOSアプリは同マーケットでの公開にあたって審査が行われるために、マルウェアを拡散させやすいAndrodに集中するというわけだ。”

            Thumb up 2 Thumb down
            • No Name 2013年11月6日 22:02 No.515654 返信

              Androidオワタ

              Thumb up 0 Thumb down
          • No Name 2013年11月6日 23:02 No.515730 返信

            Windows Mobileの脆弱性が二件とかなんの冗談だよ
            ていうかWindowsPhoneの誤表記?
            ならまだ納得いくけど

            Thumb up 1 Thumb down
    • No Name 2013年11月6日 19:58 No.515409 返信

      グーグルプレイ自体、無法地帯だしな
      誰でも悪意に満ちたアプリを配信出来てしまう

      Thumb up 5 Thumb down
      • No Name 2013年11月6日 22:04 No.515659 返信

        WindowsRTの方がマシ

        Thumb up 2 Thumb down
        • No Name 2013年11月6日 23:46 No.515806 返信

          Windowsストアではなくて?

          Thumb up 0 Thumb down
    • No Name 2013年11月6日 21:09 No.515549 返信

      “脆弱性を100とした場合の40%”って意味わかってるかw?
      それで多いって言えばiOSの脆弱性なんてOS本体がほぼ100%とか言えるわけで

      Thumb up 0 Thumb down
  4. No Name 2013年11月6日 16:54 No.514933 返信

    いっそ標準でCyanogenModとか入れてたらよくね??

    Thumb up 1 Thumb down
    • No Name 2013年11月6日 17:36 No.515054 返信

      それ搭載のスマホが今度中国のメーカーから出るという話があったような

      Thumb up 0 Thumb down
  5. No Name 2013年11月6日 16:56 No.514940 返信

    カスタマイズで脆弱性がそれだけ増えるってのもOSとしてどうなのという気が

    Thumb up 4 Thumb down
    • No Name 2013年11月6日 17:07 No.514971 返信

      ヘボがカスタマイズすれば幾らでも穴は増えるに決まってるじゃねえか。
      なにが「OSとしてどうなの」だよw

      高評価: Thumb up 25 Thumb down
      • No Name 2013年11月6日 18:52 No.515261 返信

        カスタマイズ層みたいなのを作って、その層の脆弱性が有っても波及しないように頑張る位はしても良いのかもしれないけどね。
        ただし、オーバーヘッドによるバッテリー寿命と性能低下を許容できるかという問題も。

        Windowsで言うなら、ドライバのバグが多すぎてアレだったのでユーザー空間に追い出してバグっても被害を極小化したりといった具合だね。
        # 特にビデオドライバが酷過ぎたので真っ先に隔離されて、画面が真っ暗になってもしばらくしたらドライバが再起動させられて復活するようになったよね。
        他にもWHQLみたいなテスト体制をもうちょっとしっかりやる感じかとか、Googleがカスタマイズする場合の基本方針とかフレームワークとかテンプレートを用意するとかか。
        例のメモリ空間書き換え放題みたいな超派手なドライバのバグも、防げたかもしれない。

        Linuxカーネルのバグがroot化に利用されたりとOS自体のバグが原因でなんて事もあるし、Google自身がAndroid OSのバグを何時まで経っても直さないとかもあるので何とかしてほしいとは思うが。
        # 今はPPTP自体が脆弱なプロトコルだが、PPTPの暗号化通信をするとバグで途中で通信不能になる
        # http://code.google.com/p/android/issues/detail?id=4706

        何より、ユーザー自身が自分の持ってる機種が危険か否かが全く解らないってのが一番ダメダメな点。
        スマホ版CERT/CCみたいなのを用意すべきだと思うのだが。
        まぁ、そんなのを見せたら軽微な不具合だったとしても、ユーザーがパニックになって一気にスマホ離れが起きちゃうだろうけど。

        Thumb up 6 Thumb down
    • No Name 2013年11月6日 17:07 No.514974 返信

      メーカーがOS自体に手を入れる事が出来るんだから当然の話だと思うが。

      Thumb up 14 Thumb down
      • No Name 2013年11月6日 18:04 No.515134 返信

        そういうことができちゃうこと自体がモバイルOSとしてどうなのって話なんだけど

        Thumb up 3 Thumb down
        • No Name 2013年11月6日 18:10 No.515157 返信

          どうなのも何も無い気がするが…オープンソースを何だと思ってるん?

          高評価: Thumb up 22 Thumb down
        • No Name 2013年11月6日 19:03 No.515286 返信

          まともにOS開発が出来ないからカスタムしてるんだろ。
          セキュリティを劣化させるメーカーが堂々と端末だしてる事の方が問題じゃ?

          Thumb up 7 Thumb down
  6. No Name 2013年11月6日 17:03 No.514960 返信

    androidはもうグーグルだけでいいんじゃないか

    Thumb up 2 Thumb down
  7. No Name 2013年11月6日 17:04 No.514965 返信

    日本の場合は更にキャリアカスタマイズが入るわけですよ。

    Thumb up 14 Thumb down
    • No Name 2013年11月7日 00:04 No.515843 返信

      海外にキャリアのカスタマイズがないと信じてるバカ発見!!

      Thumb up 0 Thumb down
  8. No Name 2013年11月6日 17:08 No.514975 返信

    でも逆に考えれば、脆弱性のポイントがバラバラってことであるから
    攻撃側としては攻めにくいと言えば攻めにくいような・・・

    Thumb up 1 Thumb down
    • No Name 2013年11月6日 17:21 No.515001 返信

      あの人たちのモチベーション考えたら、平気で網羅してくるんじゃないかしらw

      Thumb up 9 Thumb down
    • No Name 2013年11月6日 19:08 No.515295 返信

      攻撃できる箇所は異なるかもしれないけど
      カスタマイズすることで脆弱性を増えてるからな
      OS共通の脆弱性もあるし

      どこまで防げるかは知らないけど
      アンチウイルスソフトがあるのは唯一の救い

      Thumb up 2 Thumb down
    • No Name 2013年11月6日 23:29 No.515773 返信

      脆弱性なんて、たとえ一個でも増えんのは嫌だわ

      Thumb up 1 Thumb down
  9. No Name 2013年11月6日 17:29 No.515035 返信

    ちゃんとした製品作って欲しいわー

    Thumb up 1 Thumb down
  10. No Name 2013年11月6日 17:31 No.515042 返信

    パソコンにおけるWindowsと同じことが起きてると思う
    あっちもよけいなアプリをプリインストールして糞重くさせてる例がほとんどだからな
    自作マシンに素のWindows入れたらこんなに軽かったのかと驚いたくらいだ

    Thumb up 3 Thumb down
    • No Name 2013年11月6日 18:05 No.515139 返信

      でもPCはアンインストールはできるんじゃね?

      Thumb up 6 Thumb down
  11. No Name 2013年11月6日 17:49 No.515089 返信

    非ルート、ストックロムのNEXUSが最強なの?

    Thumb up 0 Thumb down
  12. No Name 2013年11月6日 17:56 No.515108 返信

    標準機能のガイドラインとかないのかよw
    ゴテゴテしたの要らん。

    Thumb up 2 Thumb down
  13. No Name 2013年11月6日 17:58 No.515115 返信

    また比率の話か・・・増えても、減っても騒ぐしかないんだよね。
    プリインガー vs ソノママジャー

    Thumb up 2 Thumb down
  14. No Name 2013年11月6日 17:59 No.515119 返信

    nexus最強伝説

    Thumb up 9 Thumb down
    • No Name 2013年11月6日 18:33 No.515221 返信

      Google Edition…

      Thumb up 2 Thumb down
  15. No Name 2013年11月6日 18:11 No.515160 返信

    Windowsみたいにセキュリティパッチだけで出してほしい
    Androidでは難しい話かもしれないけど

    Thumb up 2 Thumb down
    • No Name 2013年11月6日 19:09 No.515296 返信

      Googleがアップデート用意してもメーカーのカスタムが弊害となって提供されない。
      それがジャパンクオリティ♪

      Thumb up 2 Thumb down
    • No Name 2013年11月6日 22:41 No.515697 返信

      ん?メーカーは独自にセキュリティーアップデートしてるよ?

      Thumb up 1 Thumb down
  16. No Name 2013年11月6日 18:17 No.515168 返信

    ベンダーのカスタマイズが原因の脆弱性でも
    アップデートは打ち切られサポートは停止し
    穴がふさがれることはないという……

    Thumb up 4 Thumb down
  17. No Name 2013年11月6日 18:34 No.515226 返信

    つまりキャリア改造など言語道断

    Thumb up 5 Thumb down
  18. No Name 2013年11月6日 19:23 No.515327 返信

    日本の場合は
    メーカー改造+キャリア改造+アップデート放置の最強コンボだぜ!!

    Thumb up 14 Thumb down
    • No Name 2013年11月6日 20:40 No.515500 返信

      情弱御用達ですね

      Thumb up 3 Thumb down
    • No Name 2013年11月6日 23:35 No.515784 返信

      だから安全について厳しい日本人はAndroid端末に寄りつかなくなってしまう。。

      Thumb up 0 Thumb down
      • No Name 2013年11月6日 23:40 No.515793 返信

        日本人は交通とか食の安全には敏感だけど
        こと情報のセキリュティに限っては全くそれに当てはまらない気がする

        Thumb up 1 Thumb down
  19. No Name 2013年11月6日 19:27 No.515333 返信

    なにげにXperiaが比較機種の一つになってて感動

    Thumb up 2 Thumb down
  20. No Name 2013年11月6日 19:50 No.515385 返信

    羊がうろついたり
    機能が少ないのに裏でビデオとか何とかテレビとか動いてる激重なホームアプリとか
    あーいうのは本当に癌なんじゃ

    いい意味ですっぴんが大事ですよ
    多少の化粧は必要ですが

    Thumb up 6 Thumb down
  21. No Name 2013年11月6日 20:27 No.515470 返信

    パソコンだってオフィスやPDFの脆弱性をつかれたりするし
    当たり前と言えば当たり前の結果だと思う

    Thumb up 0 Thumb down
  22. No Name 2013年11月6日 20:33 No.515481 返信

    大丈夫!
    Nexusが日本からでも買えるようになったから、ぐへへへへ

    それよりも、くまむんさんが艦これやってることに驚きだよ

    Thumb up 1 Thumb down
  23. No Name 2013年11月6日 22:59 No.515725 返信

    ドロイド君泣いてるけど、マルウェアちゃん なぐさめてくれるの?

    Thumb up 0 Thumb down
  24. No Name 2013年11月6日 23:29 No.515774 返信

    当たり前の話を検証して明示化してる所がこの記事のポイントだろうけど
    Android=自由度が高い=rooted
    この発送がある限り、メーカーが意欲的に
    完全に穴潰すわけない現実

    Android OSに対する認識がこれで変わるなら何もわかってない証拠とも言える所が面白い記事だが

    メーカーが意図的に穴を残してる事を
    Googleチェック必須で完全に潰す方向に持って行かない限り
    状況が変わるわけ無いし、Appleみたいに適度に駆逐しまくる状況になったら
    Androidを求めるRooted必須のユーザーが離れてくだけだよな

    Thumb up 0 Thumb down
  25. No Name 2013年11月6日 23:31 No.515777 返信

    知ってる方いたら教えて下さい!
    前にiPhoneをロックして数時間机の上に放置しておいたら、メッセージから大量に友達にメール送ってたんだけど、あれはバグ?それともマルウェア?
    Androidの記事なのに申し訳ない。。

    Thumb up 0 Thumb down
  26. No Name 2013年11月6日 23:34 No.515781 返信

    タダより高いものはない!

    Thumb up 0 Thumb down
  27. No Name 2013年11月6日 23:40 No.515794 返信

    あれ?GoogleってWindowsの脆弱性に怒ってなかったっけ??

    Thumb up 0 Thumb down
この記事の最新コメントをRSSで受け取る
この記事にコメント
  • コメントを投稿する際には「コメントガイドライン」を必ずご覧ください
  • コメントを投稿した際には、コメント機能利用規約(ガイドライン)に同意したものとみなされます
  • サイトに関するご要望・ご意見は「サポート」で受け付けています
  • 主要ニュースサイトなどの「許可サイト」以外のURLを含む投稿はコメントが保留されます