Blueboxの研究者によって発見されたAndroid Master Keyバグに関する初期の報告では、すべてのAndroidデバイスの99%が脆弱である可能性があると主張しました。 信頼できないソースからのアプリのインストールを妨げる機能をオフにしたユーザーのみが影響を受ける可能性があることに注意して、後のレポートは大幅にバックトラックしました。 誰もそうしませんか? Blueboxのプレゼンテーションで、BlueboxのJeff Forristalは、それほど単純ではないと説明しました。
Forristallのプレゼンテーションの主な目的は、マスターキーの脆弱性を詳細に説明することでした。 彼はまた、Android検証プロセスに影響を与えることなくアプリの変更を許可する可能性のある他のいくつかの関連バグについて報告しました。 これらのほとんどは、Android内の異なるZIPファイル解析モジュール間の格差を伴います。
共通の知恵?
プレゼンテーションの最後に、Forristallは、ほとんどすべてのユーザーが、信頼できないソースからのアプリのインストールを禁止する設定によって保護されているという主張に取り組みました。 「「誰もが知っている」ユーザーは、「信頼できないソースを許可する」設定を変更しません」とForristall氏は言います。 「本当に?このデータはどこから来たの?」 これらのレポートはソースを引用していません。
Bluebox Security Scannerは、誰かがスキャンを実行するたびに、完全に匿名のテレメトリデータをBlueboxに報告します。 テレメトリに含まれる項目の1つは、信頼できないソースからのアプリを許可するようにデバイスが設定されているかどうかです。
Forristallは、信頼されていないソースに対する保護を25パーセント単位でオフにしたユーザーの数を推測するように聴衆に挑戦しました。 50〜75%と推測し、得点しました。 「信頼できないソースを許可するユーザーの数」 Forristallに尋ねた。 「69%の人がスイッチを入れました!」
彼は、サンプルがユーザーの25分の25にすぎないと指摘しました。 「おそらく69%の数値が高いと感じています」と、Forristall氏は言います。「おそらくサンプリング人口によるものです。これを1, 000万または1億で見たいと思います。 「専門家」が考えるよりも」
なぜそんなに高いの?
「ユーザーがこの保護を無効にしようとする動機はたくさんあります」とForristall氏は述べています。 「海賊版アプリケーションだけではありません。たとえば、Amazon Appstoreはマルウェアのないことを保証するために多くの作業を行いますが、Amazon以外のデバイスにインストールする場合、インストールのステップ1は他のソースからのアプリを許可することですGoogle Playよりも優れています。企業は、BYODおよびMDMソリューションの準備を整え、社内アプリを配布する必要があります。」
「この設定を変更する説得力のある理由がいくつかあります」と、Forristall氏は結論付けました。 もちろん、これは一部の専門家がユーザーが最初に変更を加えることはないと予測するために使用したのと同じ議論です。これはあまりにも多くの作業です。
Google Play以外のアプリを利用したことがない場合、その設定は理論的には無関係ですが、なぜチャンスをつかむのでしょうか? 私がAndroidユーザーであれば、信頼できないアプリソースの禁止を間違いなく有効にします。
