SRLが多くのAndroid機のセキュリティパッチの怠慢を暴露、Googleはこれに反論

Androidがオープンソースであることに良い点はたくさんあっても、ソフトウェアのアップデートをハードウェアのメーカーがやらなければならないことは、明らかにその慢性的な欠陥だ。それは機能の最新アップデートを期待するユーザーにとってはフラストレーションになりうるし、重要なセキュリティアップデートが為されないと危険を招くこともある。

ドイツのセキュリティ企業Security Research Labs(SRL)の二人の研究者が最近Wired誌で共有した研究によると、すべての大手メーカーのAndroidハンドセット1200台について2年間、セキュリティパッチの実装状況を調べたところ、必要なパッチを当ててないハンドセットが多くのメーカーのさまざまな機種で見つかった。

たとえばSonyとSamsungは、一部のセキュリティパッチを怠っている。しかもその一部は、最新のアップデートを行っているとユーザーには報告している。そして研究者の一人は、“ユーザー自身がそれぞれのパッチの有無を知ることはほとんど不可能”、と言っている。

Xiaomi, Nokia, HTC, Motorola, そしてLGもパッチ怠慢のリストに載っているし、TCL とZTEはインストールしたと主張しているパッチの内、実際には平均して4つ以下のパッチしか実装しておらず、最悪の成績だ。

Googleは本誌TechCrunchに宛てた声明で、Androidのエコシステムの安全のためには多様な手段を講ずることが重要、と述べている。つまり、SRLの指摘がデバイスのセキュリティのすべてではない、というのだ。

その声明は曰く、“Androidのエコシステムのセキュリティを強化しようとする彼らの継続的な取り組みに関して、Karsten NohlとJakob Kellに感謝したい。われわれは彼らと協力して彼らの検出方法を改良し、Googleが提案している以外の方法で行われているセキュリティアップデートも検出できるようにした。セキュリティアップデートは、Androidのデバイスとユーザーを護るために使われている多くの層の一つである。プラットホームが内蔵している保護、たとえばGoogle Play Protectなども、同等に重要である。これら多くのセキュリティレイヤと、Androidエコシステムの膨大な多様性が相まって、研究者たちの結論が導かれている。それは、Androidデバイスをリモートで搾取することは依然として困難、という結論だ。

Googleは、2017年度のセキュリティレビューも見るよう、われわれに勧めている。Androidのセキュリティの状況が、もっとよく分かるだろう、というのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。