Androidの断片化はセキュリティ上の強みになる? 6
ストーリー by headless
複雑 部門より
複雑 部門より
Androidの弱点として指摘されることも多いOSの断片化だが、セキュリティの面ではむしろ強みであるとの見解をモバイルペイメント企業Squareでセキュリティ責任者を務めるDino Dai Zovi氏がBlack Hat Asiaでの基調講演で示したそうだ(The Registerの記事)。
Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。
ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。
Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべきだという点を強調していたとのことだ。
Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。
ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。
Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべきだという点を強調していたとのことだ。
一番弱いところが狙われる (スコア:1)
多様性がないより多様性がある方が全体で見た場合は強くなるのは、今まではあまり指摘されてこなかった。
というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
多様性あり、脆弱性FIX なし
多様性なし、脆弱性FIX Windows 10~Vista、最新のiOS/MacOS X
多様性あり、脆弱性放置 Android
多様性なし、脆弱性放置 古いiOS/古いMacOS X/Windows XP
※上なほど、望ましい
いまのところ、多様性と脆弱性FIXを同時に満たしたOSはない。
しいて言えば、Linuxの各ディストリビューションか。
ただし、たいていはWindowsよりセキュリティパッチの提供期間は短いので、バージョンアップが前提となるけど。
そういえば聞こえは良いけど (スコア:1)
どの端末でも同じように動作するアプリを書くのが大変ってだけじゃん
Re: (スコア:0)
はげどう。
実機がなければ動くかどうかさえわからないのがアプリ開発の実態。
自虐的ww (スコア:1)
なんて自虐的なww
どんな端末でも動くアプリを作るのが難しくなっているってことじゃん。
メリットよりデメリットの方が多すぎだし
前からわかってたこと (スコア:0)
多様性があったほうがいいなんてのは何億年も前から自然界での鉄則ですから
攻撃する側からすれば手間がかかる上にひとつの手法でターゲットにできる相手のかすが少なくて旨味がない
iOSなんて全員クローン状態なのでそっち狙うに決まってるわけです