キャリア各社は権限昇格の脆弱性を何カ月も何年も修正しないまま放置していることが多いと専門家は指摘する。
Android搭載端末の半数以上に、修正されないまま放置された脆弱性が存在する――セキュリティ企業の米Duo Securityがそんな調査結果を発表した。
Duo Securityはモバイル端末の脆弱性をチェックするモバイルアプリ「X-Ray」を開発し、Android向けに提供している。同アプリは、既に公になっているのに修正されないまま放置され、悪用できる状態になっている脆弱性を見つけ出すことができる。
同社の9月12日のブログによると、X-Rayを通じて収集した2万台強のAndroid端末の情報を分析した結果、推定で半数以上のAndroid端末に未解決の脆弱性が存在することが分かったという。しかも、これはかなり少な目に見積もった数字だとしている。
キャリア各社は、特に権限昇格の脆弱性について、何カ月も何年も修正しないまま放置していることが多いといい、デスクトップ向けの脆弱性修正パッチがほぼ即座に配信されるのとは対照的な状況だという。
こうした実態についてDuo Securityは、「脆弱性を修正することの重要性と、キャリアやメーカーなど業界の対応のまずさが浮き彫りになった」と解説する。調査結果は9月14日に米サンフランシスコで開かれたRapid7主催のセキュリティカンファレンスで発表している。
Copyright © ITmedia, Inc. All Rights Reserved.