大部分のAndroid端末、Google配信のセキュリティパッチを完全には網羅せず――独セキュリティ企業の調査
Googleが月例パッチに含めた重大な脆弱性への対応が抜け落ちていることがある――。ドイツのセキュリティ企業Security Research Labsが調査結果を発表した。
ドイツのセキュリティ企業が各社のAndroid端末を調査した結果、ほとんどのベンダーにパッチの欠落が見つかった。
Android端末の大部分は、メーカーやキャリアから配信されるアップデートを適用しても、Googleが月例パッチに含めた重大な脆弱性への対応が抜け落ちていることがある――。ドイツのセキュリティ企業Security Research Labsが4月12日、そんな調査結果を発表した。
Androidを巡っては、パッチの導入状況が端末によってまちまちだった実態を受け、Googleが脆弱性を修正する定例パッチを毎月メーカーやキャリアなどのパートナー向けに配信するようになった。パートナー各社はこのパッチをもとに、ユーザーの端末にアップデートを配信している。
Googleの定例パッチでは、毎月何十件もの脆弱性が修正される。ところがSecurity Research Labsの研究者が各社のAndroid端末を調査した結果、ほとんどのベンダーにパッチの欠落が見つかったという。
同社の調査では、危険度「重大」(Critical)または「高」(High)の脆弱性修正パッチが欠落していた平均の件数をメーカー別に調べた。
それによると、欠落していたパッチの数が0〜1と最も少なかったのは、Google、Sony、Sumsung、Wikoの4社の端末だった。次いで1〜3件がXiaomi、OnePlus、Nokia、3〜4件がHTC、Huawei、LG、Motorola。TCLとZTEの端末は、欠落パッチが4件以上と最も多かった。
ただし調査対象とした端末は、メーカーによって5〜9台から50台以上と幅がある。また、今回の調査は全てのパッチを対象とはしていないことから、実際に欠落しているパッチの数はもっと多い可能性があるとしている。
「現代のOSは複数のセキュリティ対策で守られており、少数のパッチが抜け落ちたとしても、一般的には、リモートからAndroidに攻撃を仕掛けるには不十分」とSecurity Research Labsは解説する。それでも「さまざまなセキュリティ層をの効率性を保つ上で、パッチは決定的に重要」と強調した。
今回の調査結果は、4月13日にオランダのアムステルダムで開かれるセキュリティカンファレンス「Hack in the Box」で発表予定。
関連記事
- 機械学習で有害アプリ検出強化、GoogleがAndroidセキュリティ動向報告書を発表
「Google Play Protect」を使って検出した有害アプリは約3900万。60.3%は機械学習によって検出されたという。 - 仮想通貨「Monero」を採掘するマルウェア、Android端末で感染拡大
Androidデバイスに感染してボットネットを形成し、仮想通貨を採掘しようとするマルウェアが急激に感染を広げている。 - Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正
MediaフレームワークやQualcommコンポーネントなどに存在する重大な脆弱性が修正された。 - Google、Androidの月例セキュリティ情報公開 47件の脆弱性を修正
Androidのメディアフレームワークや、Qualcommコンポーネントなどに重大な脆弱性が存在する。 - 「Dirty COW」の脆弱性を突くAndroidマルウェア出現、日本でも感染
「Dirty COW」と呼ばれるLinuxの脆弱性を突くAndroidマルウェアが、日本を含む40カ国あまりで発見された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.