Androidの脆弱性の6割はベンダーによるカスタマイズが原因との研究結果
ノースカロライナ州立大学のXuxian Jang氏らのグループはこのたび、Android OSを搭載したスマートフォンにおけるセキュリティ脆弱性の60%以上が端末メーカー(ベンダー)のカスタマイズが原因であるとする研究結果を発表しました。
Android OSは、スマホやタブレット端末など全世界で2億台以上のデバイスに搭載されているOSです。その基幹部分はGoogleなどが開発していますが、実際の製品に組み込む過程では、サムスンやHTC・ソニーなどといった端末メーカー(ベンダー)が、独自のカスタマイズを行っています。
今回の研究では、これらのカスタマイズが端末のセキュリティにどのような影響を与えているかについて評価を行ったもので、Androidのバージョンの中では旧式であるAndroid 2.xを搭載しているものと最新版にあたる4.xを搭載しているもの、計10機種を対象としています。
実験の結果、Android 2.xでは一台あたり平均22.4個、Android 4.xの端末では平均18.4個の脆弱性が発見されたとのこと。これら脆弱性の具体的な内容としては、ユーザーの許可なく音声録音や通話・データ消去などを行なうことが可能になるといったもので、中には2.xよりも4.xがインストールされた端末で脆弱性が増えたケースも確認されているとのことです。
今回、評価対象となった端末。表の一部を論文より引用。
Jiang氏によると、これらの脆弱性の60%以上は端末メーカーが実施しているファームウェア改造や独自APIなどが原因となっているもので、Google製端末であるNexus 4がこうした影響を最も受けていない(比較的に)”リスクの少ない” 端末であることがわかったとのこと。
端末をより便利にさせるはずのカスタマイズが、かえってセキュリティ上の不安を作り出しているのは何とも皮肉な結果ですが、ベンダー各社には早急な対応を臨みたいものです。参考までに、論文(PDF)はこちらから全文閲覧可能となっていますので、興味のある方はチェックされてみてはいかがでしょうか。
[Phys.org]
もう全端末素のAndroidで出してくれよ。キャリアのプリインアプリとか要らん
アプリが入ってない!詐欺です!みなさん騙されないで!
By価格.comレビュー
流石にそれを真に受ける人がいるとは思えんwww
ヤマダのTAB販売用POPで釣られる人もいるようだから・・・
でもそこで差別化しないとスペックなんか横並びであと値段とデザインぐらいしか差別化できるところないからな
減算方式でしか見られてない部分で差別化されても困る
とはいえ、ネクサス7初めて買ったがソフトウェアにメーカーのカスタマイズが入らないと糞みたいに使いにくいからな。
まともなサービス出してから言ってくれとしかいえんな。
使いにくいならば必要なアプリ入れればいいじゃないですか。
ほら、世の中にはこういう人がいっぱいいるんだよ。
Nexus7とガラスマ使ってるけど、Nexus7の方が余計なもの入ってなくて快適だわ。
かといって常に携帯するならモバイルSuicaは必須なんだよね。
知ってた
OS本体に40%も多すぎる気が…
だなぁ、60%以上って言い方してるってことは70%よりは少ないってことだろうから、OS自体の脆弱性は少なくとも30%は締めてるってことになるんよね…流石に多い。
割合の多寡について語ってもあまり意味が無いのでは
とは言え今回は平均幾つの脆弱性が発見されてる、っていう数字も出てきてるしなぁ。
その理屈だとカスタマイズがないiOSとかはOS自体が原因の脆弱性100%になるからw
IOSも不具合多いじゃん
不具合と脆弱性を一緒にしちゃダメでしょ
脆弱性が発見された数はiOSの方が多いみたいよ。
http://internet.watch.impress.co.jp/docs/news/20130424_597383.html
”iOSが危険ということではなく、iOSを研究しているセキュリティ専門家の数が多いことから、発見される脆弱性も多いのではないかとしている。
一方、2012年のモバイルマルウェアをOS別に見ると、iOSが1件、Androidが103件、Symbianが3件、Windowsが1件で、Androidマルウェアの数が圧倒的だ。
AndoridアプリはGoogle Play以外でも配布が可能であるのに対して、iOSアプリは配布マーケットがApp Storeに限定される。しかもiOSアプリは同マーケットでの公開にあたって審査が行われるために、マルウェアを拡散させやすいAndrodに集中するというわけだ。”
Androidオワタ
Windows Mobileの脆弱性が二件とかなんの冗談だよ
ていうかWindowsPhoneの誤表記?
ならまだ納得いくけど
グーグルプレイ自体、無法地帯だしな
誰でも悪意に満ちたアプリを配信出来てしまう
WindowsRTの方がマシ
Windowsストアではなくて?
“脆弱性を100とした場合の40%”って意味わかってるかw?
それで多いって言えばiOSの脆弱性なんてOS本体がほぼ100%とか言えるわけで
いっそ標準でCyanogenModとか入れてたらよくね??
それ搭載のスマホが今度中国のメーカーから出るという話があったような
カスタマイズで脆弱性がそれだけ増えるってのもOSとしてどうなのという気が
ヘボがカスタマイズすれば幾らでも穴は増えるに決まってるじゃねえか。
なにが「OSとしてどうなの」だよw
カスタマイズ層みたいなのを作って、その層の脆弱性が有っても波及しないように頑張る位はしても良いのかもしれないけどね。
ただし、オーバーヘッドによるバッテリー寿命と性能低下を許容できるかという問題も。
Windowsで言うなら、ドライバのバグが多すぎてアレだったのでユーザー空間に追い出してバグっても被害を極小化したりといった具合だね。
# 特にビデオドライバが酷過ぎたので真っ先に隔離されて、画面が真っ暗になってもしばらくしたらドライバが再起動させられて復活するようになったよね。
他にもWHQLみたいなテスト体制をもうちょっとしっかりやる感じかとか、Googleがカスタマイズする場合の基本方針とかフレームワークとかテンプレートを用意するとかか。
例のメモリ空間書き換え放題みたいな超派手なドライバのバグも、防げたかもしれない。
Linuxカーネルのバグがroot化に利用されたりとOS自体のバグが原因でなんて事もあるし、Google自身がAndroid OSのバグを何時まで経っても直さないとかもあるので何とかしてほしいとは思うが。
# 今はPPTP自体が脆弱なプロトコルだが、PPTPの暗号化通信をするとバグで途中で通信不能になる
# http://code.google.com/p/android/issues/detail?id=4706
何より、ユーザー自身が自分の持ってる機種が危険か否かが全く解らないってのが一番ダメダメな点。
スマホ版CERT/CCみたいなのを用意すべきだと思うのだが。
まぁ、そんなのを見せたら軽微な不具合だったとしても、ユーザーがパニックになって一気にスマホ離れが起きちゃうだろうけど。
メーカーがOS自体に手を入れる事が出来るんだから当然の話だと思うが。
そういうことができちゃうこと自体がモバイルOSとしてどうなのって話なんだけど
どうなのも何も無い気がするが…オープンソースを何だと思ってるん?
まともにOS開発が出来ないからカスタムしてるんだろ。
セキュリティを劣化させるメーカーが堂々と端末だしてる事の方が問題じゃ?
androidはもうグーグルだけでいいんじゃないか
日本の場合は更にキャリアカスタマイズが入るわけですよ。
海外にキャリアのカスタマイズがないと信じてるバカ発見!!
でも逆に考えれば、脆弱性のポイントがバラバラってことであるから
攻撃側としては攻めにくいと言えば攻めにくいような・・・
あの人たちのモチベーション考えたら、平気で網羅してくるんじゃないかしらw
攻撃できる箇所は異なるかもしれないけど
カスタマイズすることで脆弱性を増えてるからな
OS共通の脆弱性もあるし
どこまで防げるかは知らないけど
アンチウイルスソフトがあるのは唯一の救い
脆弱性なんて、たとえ一個でも増えんのは嫌だわ
ちゃんとした製品作って欲しいわー
パソコンにおけるWindowsと同じことが起きてると思う
あっちもよけいなアプリをプリインストールして糞重くさせてる例がほとんどだからな
自作マシンに素のWindows入れたらこんなに軽かったのかと驚いたくらいだ
でもPCはアンインストールはできるんじゃね?
非ルート、ストックロムのNEXUSが最強なの?
標準機能のガイドラインとかないのかよw
ゴテゴテしたの要らん。
また比率の話か・・・増えても、減っても騒ぐしかないんだよね。
プリインガー vs ソノママジャー
nexus最強伝説
Google Edition…
Windowsみたいにセキュリティパッチだけで出してほしい
Androidでは難しい話かもしれないけど
Googleがアップデート用意してもメーカーのカスタムが弊害となって提供されない。
それがジャパンクオリティ♪
ん?メーカーは独自にセキュリティーアップデートしてるよ?
ベンダーのカスタマイズが原因の脆弱性でも
アップデートは打ち切られサポートは停止し
穴がふさがれることはないという……
つまりキャリア改造など言語道断
日本の場合は
メーカー改造+キャリア改造+アップデート放置の最強コンボだぜ!!
情弱御用達ですね
だから安全について厳しい日本人はAndroid端末に寄りつかなくなってしまう。。
日本人は交通とか食の安全には敏感だけど
こと情報のセキリュティに限っては全くそれに当てはまらない気がする
なにげにXperiaが比較機種の一つになってて感動
羊がうろついたり
機能が少ないのに裏でビデオとか何とかテレビとか動いてる激重なホームアプリとか
あーいうのは本当に癌なんじゃ
いい意味ですっぴんが大事ですよ
多少の化粧は必要ですが
パソコンだってオフィスやPDFの脆弱性をつかれたりするし
当たり前と言えば当たり前の結果だと思う
大丈夫!
Nexusが日本からでも買えるようになったから、ぐへへへへ
それよりも、くまむんさんが艦これやってることに驚きだよ
ドロイド君泣いてるけど、マルウェアちゃん なぐさめてくれるの?
当たり前の話を検証して明示化してる所がこの記事のポイントだろうけど
Android=自由度が高い=rooted
この発送がある限り、メーカーが意欲的に
完全に穴潰すわけない現実
Android OSに対する認識がこれで変わるなら何もわかってない証拠とも言える所が面白い記事だが
メーカーが意図的に穴を残してる事を
Googleチェック必須で完全に潰す方向に持って行かない限り
状況が変わるわけ無いし、Appleみたいに適度に駆逐しまくる状況になったら
Androidを求めるRooted必須のユーザーが離れてくだけだよな
知ってる方いたら教えて下さい!
前にiPhoneをロックして数時間机の上に放置しておいたら、メッセージから大量に友達にメール送ってたんだけど、あれはバグ?それともマルウェア?
Androidの記事なのに申し訳ない。。
タダより高いものはない!
あれ?GoogleってWindowsの脆弱性に怒ってなかったっけ??