Androidの断片化はセキュリティ上の強みになる?
タレコミ by headless
headless 曰く、
Androidの弱点として指摘されることも多いOSの断片化だが、セキュリティの面ではむしろ強みであるとの見解をモバイルペイメント企業Squareでセキュリティ責任者を務めるDino Dai Zovi氏がBlack Hat Asiaでの基調講演で示したそうだ(The Registerの記事)。
Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらず、デバイスメーカーがパッチを提供しないケースも多い。
ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。
Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明に重点を置くべきだという点を強調していたとのことだ。