セキュリティウォッチ Androidの最大のセキュリティ脅威:OSの断片化

Androidの最大のセキュリティ脅威:OSの断片化

ビデオ: †ÙÆ' الÙÆ'ويت الوطني إعلان ال�طور رà (十一月 2024)

ビデオ: †ÙÆ' الÙÆ'ويت الوطني إعلان ال�طور رà (十一月 2024)
Anonim

最近携帯電話やタブレットを購入していない限り、Androidデバイスが古いバージョンのオペレーティングシステムを実行している可能性が高く、深刻なセキュリティリスクにさらされています。

Googleの最新データによると、Androidユーザーの44%が2年前にリリースされた「Gingerbread」またはバージョン2.3.3から2.3.7を使用しています。 Gingerbreadには多くのセキュリティ上の脆弱性があり、それ以降のバージョンで修正されています。 OS内訳データは、2月22日から3月4日までにGoogle Playに接続しているAndroidデバイスから収集された統計に基づいています。

Googleによると、Androidデバイスのわずか16パーセントがモバイルオペレーティングシステムのバージョン4.1または4.2を実行しています。 「Jelly Bean」とも呼ばれ、最新のAndroidバージョンは6か月前にリリースされましたが、プロセスはキャリアによって厳しく制御されているため、Androidユーザーの大半は新しいOSにアップグレードできませんでした。

「Androidの問題は、ほとんどの人が携帯電話に古いバージョンを持っていることです」と、ボストンのノースイースタン大学のSECLABのポスドク研究員であるCollin Mullinerは、先月のRSAカンファレンスでのモバイルセキュリティパネルディスカッションで述べました。

昨年秋のSecurityWatch Summitで、Trail of BitsのCEO兼共同創業者であるDan Guidoは、Appleが新しいオペレーティングシステムをリリースしてから数日ではなく、数週間以内にiOSデバイスの大部分が更新されると述べました。

更新が遅れている携帯通信会社

「今日のソフトウェアセキュリティで最も重要なことの1つは、リモートで更新できることです」と、Mullinerはパネルで述べました。 ユーザーは、iPhoneおよびiPad、Androidの場合は自分でオペレーティングシステムの更新を開始できますが、モバイルキャリアはAndroidデバイスのプロセス全体を制御します。 現時点では、ユーザー向けの更新プログラムの公開に関する彼らの集合的な記録は絶対に陰気です。

問題は、Androidのオープンプラットフォームにより、デバイスメーカーと通信事業者がオペレーティングシステムを調整して、追加のソフトウェアをバンドルし、特定の構成設定を設定できることです。 Googleがオペレーティングシステムの更新をリリースするたびに、ベンダーと携帯通信会社の両方が、最新バージョンを公開する前に自作システムに対して変更をテストする必要があります。 キャリアはこれは遅いプロセスであると主張していますが、多くのセキュリティ専門家は、キャリアがセキュリティよりも利益を優先していると考えています。

プライバシー研究者で活動家のクリス・ソゴイアン氏は、今年の初めの別のイベントで、段階的に廃止されたり古いモデルであるため、最新のAndroidアップデートを入手できない携帯電話もあります。 Soghoian氏によると、メーカーは、現在販売されて市場に出回っているデバイスに注力し、ワイヤレスキャリアは、ユーザー契約が更新されるまで「2年に1度しか気にしない」と述べています。 たとえば、LG Androidスマートフォンは最初のOS更新を16か月間取得していませんでした。多くの携帯電話は、2番目の更新はもちろんのこと、最初の更新も取得できませんでした。

Googleが約6か月ごとに新しいバージョンを公開していることを考えると、ユーザーがどれほど早く古くなっているかを簡単に確認できます。

ユーザーが悪意のあるサイトにアクセスするだけで侵害されるドライブバイ攻撃は、Androidユーザーが直面する最大の脅威ではありません。 RSA会議。

「ドライブバイは大きな脅威であると人々は考えているが、実際には実際には起こらない」とミラーは語った。 Androidに関して言えば、ユーザーが直面する最大のリスクは、デバイスが古いバージョンでパッチが適用されていないオペレーティングシステムを実行しているという事実です。 Androidの最新バージョンには、セキュリティパッチと改善されたエクスプロイト緩和機能があります。

サイバー犯罪者は、ユーザーが脆弱なオペレーティングシステムを実行していることを知っています。 犯罪者がしなければならないことは、古いバージョンのAndroidの脆弱性を悪用する悪意のあるアプリをリリースし、ユーザーベースのかなりの部分を攻撃することです。

Soghoianが先に指摘したように、「消費者が13か月のソフトウェアを実行している場合、ほとんどのAndroidデバイスを攻撃するのにゼロデイは必要ありません。」

残念ながら、キャリアがセキュリティを真剣に考え始めるか、Googleがキャリアから更新プロセスの制御を奪い取らない限り、この状況は変わらないでしょう。 最も安全なAndroidデバイスは、GoogleのNexus 4スマートフォンです。これは、同社が更新を完全に制御できるためです。

Androidの最大のセキュリティ脅威:OSの断片化