Android 7.0では多くのセキュリティ強化が図られましたが、すべてのコードがバグに対して脆弱になる可能性があります。10月のセキュリティパッチでは、Googleは数十件のバグを修正したようですが、そのほとんどが深刻度「高」で、いくつかは「重大」でした。しかし、このアップデートを受け取るのはNexusユーザーと他の一部のスマートフォンモデルの所有者のみであるため、ほとんどのユーザーは発見されたすべての脆弱性に対して脆弱なままです。
アーキテクチャの強化にもかかわらず多くの新しいバグ
Android 7.0「Nougat」は今年、複数のセキュリティ強化と新機能を導入しました。この新OSには、改良されたファイルベースの暗号化、厳密に検証されたブートプロセス、必須のハードウェアバックアップキーストア、ユニバーサルで変更不可能な証明書ストア、そしてよりモジュール化されサンドボックス化されたメディア機能(将来的にStagefrightレベルの脆弱性を回避するため)が搭載されています。
こうしたセキュリティ強化にもかかわらず、先月のセキュリティアップデートではすでに数十件のバグが修正されており、GoogleがPixelスマートフォンの発売を控えている今月は、さらに多くのセキュリティ修正が行われているようです。バグのほとんどはAndroidのコアコンポーネントに関係しているようですが、ベンダー固有のものも多くあります。特にQualcommは、攻撃者に権限昇格を許す可能性のある、深刻度「高」のバグを複数抱えているようです。
「重大な」バグ
最も危険な「重大」レベルのバグには、カーネルのリモート実行の脆弱性 3 件、MediaTek のビデオ ドライバーの脆弱性 1 件、そして奇妙なことに「Qualcomm コンポーネント」における重大なバグ 3 件 (何が問題なのか説明されていないようです) が含まれます。
これら 3 つの脆弱性は、今年の夏に明らかにされたが、春に発見された (Qualcomm にも通知されていた) QuadRooter の脆弱性に関連している可能性が高い。
重大度「高」のバグ
Qualcomm のソフトウェア スタックの他のコンポーネント (暗号エンジン、サウンド、ビデオ、カメラ、QSEE (Qualcomm Secure Execution Environment)、ネットワーク ドライバーなど) にも、さらにいくつかの重大度の高い権限昇格の脆弱性が発見されました。
Nvidia と MediaTek のドライバーにもいくつかの重大度の高いバグがありましたが、Qualcomm ほどではありませんでした (Google が Qualcomm のドライバーほど徹底的にドライバーを分析しなかった可能性もあります)。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Stagefrightメディアサーバーライブラリの脆弱性も再び発生しました。深刻度「中」のバグ1つは、攻撃者が許可なく機密情報にアクセスする可能性があり、深刻度の高い別のバグは、サービス拒否攻撃を引き起こし、ハングアップや端末の再起動を引き起こす可能性があります。Androidバージョン4.4.4~7.0に影響を与える、深刻度の高い他の3つのメディアサーバーバグも、攻撃者が任意のコードを実行する可能性があります。
Google は、ServiceManager、ロック設定サービス、Zygote プロセス、フレームワーク API、テレフォニー、カメラ サービス、指紋ログイン、AOSP メール、Wi-Fi、GPS、アクセシビリティ サービスなど、Android のコア コンポーネントに、さらにいくつかの権限昇格およびサービス拒否の脆弱性を発見しました。
セキュリティパッチの適用を受けていないユーザーが多い
Androidは「単なる」モバイルOSであるにもかかわらず、コードベースはすでにかなり大規模になっており、特にメジャーリリース直後は多くの脆弱性が発見され続けるでしょう。Androidだけではありません。Appleも過去にiOSのバグを約100件一括修正しました。
新しい月次アップデートスケジュールにより、少なくともNexus/Pixelデバイスや、月次セキュリティアップデートを実施している他の大手スマートフォンメーカー数社にとっては、脆弱性は以前ほど大きな問題ではなくなりました。しかし、より大きな危険は、これらのパッチを入手できない可能性のあるユーザー、つまりAndroidユーザーの大多数にとってのものです。これは、当面の間、Androidの最大の弱点であり続けるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
