ケンブリッジ大学がAndroidのセキュリティ状況を調査

ケンブリッジ大学の研究者たちが,Androidのセキュリティをデバイス別,バージョン別,年代別に評価する大規模な調査を実施している。その結果,過去4年間の平均として,87%のAndroidデバイスに脆弱性のあることが明らかになった。

ケンブリッジ大学での研究は,悪意あるいはウィルス感染によってアプリケーションに対するルート権限の取得を可能にするような,重大な脆弱性を対象としたものだ。調査は,研究者らが開発したDevice Analyzerというアプリを通じて,世界中のボランティアが情報を提供するという方法に基づいて実施された

Proportion of devices running vulnerable versions of Android

研究を主導するDaniel Thomas氏は,今回の結果が20,000を越えるデバイスから収集したデータに基づくものであること,さらに,氏のグループが協力者を引き続き募集していることを明らかにしている。ボランティアのデバイスから提供されたデータは,既知の脆弱性情報と組み合わされて,メーカ毎のFUMスコアが生成される。FUMスコアには,既知の脆弱性を持たないデバイスの比率,最新バージョンのAndroidを実行しているデバイスの比率,そのメーカがあるデバイスに対して修正を行っていない脆弱性の平均数などが考慮されている。この方法により,さまざまなメーカの対処状況を評価した,0から10までのスコアが与えられる。スケールの上位にはGoogle, LG, Motorolaといったメーカが,それぞれ5.2, 4.0, 3.1といったスコアで並んでいる。Samsung, Sony, HTCが,2.5付近のスコアでそれに続く。

研究者らによると,Androidデバイスにセキュリティが欠如している最大の理由としてあげられるのは,定期的なセキュリティアップデート提供に対するメーカの姿勢が貧弱なことだ。各社とも,アプリケーションのインストールはGoogle Play Storeからのみとするように推奨しているが,“最近のAndroidのセキュリティ問題から,これがユーザを保護するのに十分ではないことは明らかだ”。

InfoQでは,Andoridのセキュリティに対する見解とFUMスコアの意味についてより詳しく知るために,Daniel Thomas氏に話を聞いた。

今回の研究では,過去4年間のAndroidを実行するデバイスの87%が脆弱であるという結論が出ていますが,報告書のグラフからは,最近の2年間については,ほとんどのデバイスが安全ではないように思われます。

これはメーカのアップデート活動が変わったというよりも,脆弱性が以前よりも定期的に発見されるようになった(あるいは少なくとも,発見された脆弱性のデータベースへの登録が定期的になった)ためです。事実かも知れませんが,その逆である可能性もあります。どちらとも言えません。業界としては改善のために,その時点で最大限の努力をしていますから,今後はよくなっていくだろうと楽観的に見ています。

調査結果の中で最高のメーカであるGoogleは5.2のFUMスコアを獲得していますが,メーカとして,このスコアは妥当なものでしょうか?Googleあるいは他のメーカが10点中10点を獲得するのは,どの程度難しいことなのでしょう?

平凡なスコアだと思います。10/10を取得するのは難しいでしょう。例えば,デバイスをリリースした後の数年間については,すべてのデバイスに対してアップデートを提供する必要があります。セキュリティアップデートについても速やかに作成とテストを行わなくてはなりません。不可能ではありませんが,ほとんどのメーカが現在所有しているよりも,もっと優れたプロセスが必要になるでしょう。

iOSやその他のモバイルプラットフォームを対象に,同じような調査を実施する予定はありますか?

今のところ,調査の実施に必要なiOSのデータにアクセスすることはできません。iOSでは,Androidよりも長期に渡って定期的なアップデートが提供されているので,もっとよいスコアが出るのではないかと思います。確信はありませんが。

すべての脆弱に関する機械可読なリストを含む,調査結果に関する詳細な情報が,研究者が用意したWebサイトで提供されている。