タイムリーなセキュリティパッチとシームレスな iOS ソフトウェア アップデートは、多くの Android ユーザーが iPhone に乗り換える主な理由の 1 つです。
しかし、新たな調査により、不安を抱かせる可能性のある事実が発見されました。
Wiredは本日、ドイツのセキュリティ企業Security Research Labの報告を引用し、多くのAndroidベンダーが実際にはパッチをインストールせずにデバイスのセキュリティ更新の日付を変更し、重要なOSセキュリティパッチについて顧客に嘘をついていることを発見したと報じた。
Google が長い間、OEM やキャリアに Android のセキュリティ パッチを定期的にリリースしてもらうのに苦労してきたことは周知の事実です。
同社は2年間にわたりAndroidアップデートを分析し、多くのAndroid OEMがユーザーにパッチを提供していないか、リリースを何カ月も遅らせていることを発見した。
さらに、ベンダーによっては、ユーザーには携帯電話のファームウェアは完全に最新であると伝えているにもかかわらず、実際にはパッチをこっそりと適用していないケースもあります。「パッチを1つも適用せず、パッチ適用日を数ヶ月早めていたベンダーが複数見つかりました」と、研究者のカーステン・ノール氏は述べています。
「それは意図的な欺瞞であり、あまり一般的ではありません。」
AndroidのセキュリティパッチはSecurity Research LabとWiredから
パッチ不足の一部は、MediaTekとQualcommのチップを搭載したスマートフォンに起因していると考えられます。前者は平均9.7件、後者は平均1.1件のパッチ不足です。Android本体ではなくこれらのチップにバグが見つかった場合、スマートフォンメーカーはチップメーカーからのパッチ提供に依存しています。
「より安価なデバイスを選べば、このエコシステムの中であまり整備されていない部分に行き着くことになる、というのが教訓だ」とノール氏は付け加えた。
Googleは、Security Research Labが分析したスマートフォンの一部はAndroid認定デバイスではなかった可能性があると反論したが、研究者と協力して調査結果をさらに調査中であることを強調した。
Android の製品セキュリティ リーダーである Scott Roberts 氏によると、次のとおりです。
セキュリティアップデートは、Androidデバイスとユーザーを保護するために利用される多くのレイヤーの一つです。アプリケーションサンドボックスなどのプラットフォームに組み込まれた保護機能や、Google Play Protectなどのセキュリティサービスも同様に重要です。これらのセキュリティレイヤーは、Androidエコシステムの多様性と相まって、研究者のセキュリティ向上に貢献しています。
Googleは、最新のAndroid認定デバイスには、パッチが適用されていないセキュリティ上の脆弱性があってもハッキングを困難にするセキュリティ機能が搭載されていると主張している。
検索大手によると、ベンダーが脆弱性のある機能をパッチ適用せずに電話機から削除したか、そもそも電話機にその機能が搭載されていなかったために、セキュリティパッチがデバイスから欠落しているケースもあるという。
Security Research Lab はアムステルダムで開催されるイベントでその全調査結果を発表する予定です。
