Androidスマートフォンを評価する際、個人ユーザー、規制当局、および導入企業が直面する共通の問題がある。GoogleがAndroidのセキュリティバグの修正を行ったあと、どのメーカーがパッチを供給するのか、誰にも分からないのだ。
ケンブリッジ大学のDaniel Thomas氏、Alastair Beresford氏、Andrew Rice氏による調査チームは今回の論文(PDF)で、「難しいのは、Androidのセキュリティ市場が現在、情報の非対称性により不良品ばかりが出回ってしまう状態にあることだ」と指摘している。
「メーカーはデバイスが現在セキュアかどうか、将来セキュリティ更新を受け取るかどうかを把握しているのに対し、顧客はこれらを把握しておらず、ここに情報の非対称性が存在する」(同論文)
調査チームは、「Device Analyzer」というアプリがインストールされたAndroidデバイス2万台以上から収集したデータを分析した。その結果、Androidデバイスの87%は、最近発見された(Cyanogenが2014年に修正した)「TowelRoot」の問題や、「FakeID」を含む、過去5年間に公知となった11件のバグのうち少なくとも1件に対して脆弱だった。
研究者らはまた、Androidデバイスが1年あたり平均1.26回のアップデートを受信していることを明らかにした。
Rice氏は、「セキュリティコミュニティーはしばらく前から、Androidデバイスのセキュリティ更新の不足を心配してきた」と述べた。
「われわれの願いは、この問題を定量化してスマートフォンを選択する人々を支援できるようになることと、それが今度はメーカーと通信事業者に更新を配布を促す刺激になることだ」(Rice氏)
「Stagefright」と呼ばれる一連の脆弱性に対する最近の警鐘を受けて、一部のスマートフォンメーカーはすでに、パッチ提供の向上に取り組んでいる。サムスンとLGはGoogleに倣い、「Nexus」シリーズに月例セキュリティ更新を予定することを確約している。
一方でHTCは、特に通信事業者が認定するデバイスの場合、通信事業者のテスト段階がボトルネックとなることから、毎月の更新は現実的ではないと述べた。
とはいえ、今回の調査は、一部のAndroidフォンメーカーにパッチ提供の取り組みを改善する余地があったことを改めて気付かせてくれる。この調査では、Google、LG、Motorolaの成績が、サムスン、HTC、Asusをはるかに上回っていた。
パッチの配布実績を示すため、研究者らはメーカーごとの「FUM」というスコアを考案した。このスコアはAndroidVulnerabilities.orgに掲載されている。
スコアは10点満点で、既知の深刻な脆弱性がないデバイスの割合を示す「f」、最新バージョンにアップデートされているデバイスの割合を示す「u」、任意のデバイス上でメーカーがまだ修正していない脆弱性の件数を示す「m」で構成される。
Google製Nexusデバイスのスコアは5.2で、LG(スコア4.0)とMotorola(同3.1)がそれに続いている。サムスンのスコアは2.7で、それ以降はソニー、HTC、ASUSとなっている。
研究者らによると、この調査はGoogleが資金の一部を提供したという。
調査チームは、Androidデバイス2万台以上から収集したデータを分析した。
提供:AndroidVulnerabilities.org
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。