Androidスマホで”パッチ詐欺”が横行?提供済みの”はず”のセキュリティーパッチ、実際には未提供

GoogleがAndroid向けに毎月リリースしている脆弱性対策のマンスリー・セキュリティーパッチ・アップデート。

スマホのセキュリティー対策として非常に重要なこのセキュリティーアップデートですが、ちょっと信じられないような事実が判明したようです。

国際的なセキュリティカンファレンス、HITB(Hack In The Box)でリサーチャーのKarsten Nohl氏とJakob Lell氏の研究チームが発表したもの。

この研究チームが既存のAndroidスマートフォン1200機種を調べたところ、多くの機種でインストールされているはずのセキュリティーパッチが実際にはインストールされていないという「パッチ・ギャップ」が存在するという事実が判明したとのこと。

“We find that there’s a gap between patching claims and the actual patches installed on a device. It’s small for some devices and pretty significant for others”

“Sometimes these guys just change the date without installing any patches. Probably for marketing reasons, they just set the patch level to almost an arbitrary date, whatever looks best.”

必ずしも意図的にパッチが抜けているとは限らないようですが、ひどい場合にはセキュリティーパッチの月だけ変更して実際にはなんのパッチもインストールされていないケースもあるようです。

記事によると”マーケティング”目的で適当にセキュリティー対応日だけを適当に決めるという明らかに悪質で「パッチ詐欺」と呼ばれても仕方がないレベルのものもある模様。

以下は各OEMの1機種あたりで対策済みとされているにもかかわらず実際には対策がされていないパッチ数、つまりパッチ・ギャップの平均。

ご覧のようにサムスンやソニーといったメーカーはかなり少ないですが、かなりメジャーなOEMでもこのセキュリティーパッチギャップが多く、とくにHuaweiやZTEといった中華メーカーでは平均で3~4以上も。

セキュリティーパッチは、国内機種だとXperiaやGalaxy、シャープあたりまでは割りとマメに提供されているという印象。

一方、キャリアによっても大きな差がでており、ドコモやauは少なくともメジャー機種に対してはかなりセキュリティーパッチの提供に積極的という感じですが、ソフトバンクなどはかなり消極的。

これ、かなり興味深いリサーチ結果ですが、各メーカーからなんらかの反応があるかもしれませんね。

ソース

コメント

  1. norino より:

    auしか契約してないので他のキャリアはよく分かりませんが、
    少なくともauは、不人気機種に対しても、メジャー機種よりそこそこ遅れはするものの、ちゃんとセキュリティパッチのアプデを提供してくれてます。
    去年秋までは不人気機種に対するセキュリティパッチのアプデ頻度は壊滅的でしたからね…
    年末年始辺りからセキュリティアプデに関して本腰を入れ始めた感じでしょうか。

    それに比べて中華スマホは……ああ……、としか言いようがありませんね。
    特にHUAWEIはSIMフリーで躍進してきただけに、信頼に大きな傷がつくのは避けられませんね

  2. スマホスキー より:

    セキュリティ面での不安がandroidには付き纏う。ミドルクラスの安い端末を
    早いサイクルで買い替える事でリスクを低減する事が一番の方法だと思って
    いたが、此処に来てそれさえも信用できない事態だと言うことだった。
    やはり高いがiphoneを複数年利用することが最も低リスクなのか。
    情けない話だが、この根本的原因はgoogleにある訳だし、どうにもならないな。

    • xp より:

      で、お前の言うgoogleの根本的原因は何?
      全くないけど

      • スマホスキー より:

        脆弱性のパッチがgoogleによって直接当てられないことが穴だらけの原因だよ。
        googleが提供している?それで解決できないからgoogleが原因なんだよ。
        とてつもない機種数があるandroid端末において
        Android Enterprise Recommendedと認定されるのが25機種!たったそれだけ。
        しかも認定されている機種のメーカーが穴だらけとはこれ一体。

        • xp より:

          お前本当馬鹿だな…
          なんの知識もないのに知ったかぶりしてるのが丸わかりだ
          顔真っ赤にして喚く前にせめて色々検索しなさいよ、それくらいできるよね
          中学校程度の英語で読めるようになってるから
          下のMSの例も的はずれすぎて気持ち悪い

    • 名無し より:

      Googleは脆弱性を塞ぐパッチを提供してるが、中華スマホとかが実際は適用してないくせにしてるって嘘ついてるって話だから
      Googleには何の非はない

      • スマホスキー より:

        Microsoftは脆弱性を塞ぐパッチを提供してるが、中華PCとかが実際は適用してないくせにしてるって嘘ついてるって話だから
        Microsoftには何の非はない

        これを見てその通りだ。と、お前がそう思うならそうなんだろう。

        お前ん中ではな

        • K320i より:

          いやいや、WindowsとAndroidではアップデートの配布までの流れがかなり異なるでしょうよ。
          OSやWindowsプリインストールアプリのアップデートは、日本、アメリカ、中華、どのメーカー製も基本的に関係なくマイクロソフトが一からユーザーに向けて配布。つまり、ハードメーカーを介さないアプデ。
          海外のAndroidの一般的なアプデは、セキュリティパッチをハードメーカーに一定毎に配布。その後、ハードメーカーが独自UIの対応をしたアプデをユーザーに配布。これは、グーグルからハードメーカーを介し
          てのユーザーへのアプデ。
          世界に何百種類とあるAndroid機種。今のシステムで、全てのアップデートをグーグルがメーカーを介さずに行うのは無理に等しい。

          仮に、貴方が他のコメで言った、パッチを直接グーグルが配布が実現したら、確かにセキュリティレベルは向上するだろうが、Androidの醍醐味である、全てが違うから楽しい、精神に反する。
          更に、メーカーごとに個性の異なるUIや特殊機能のアプデがし難くなる課題もある。

  3. 名無しさん より:

    だから見てくれや紙面上のスペックだけ(スペック自体は嘘じゃないだろうけど、誰がそれを使いこなすんだ?)盛りまくる中華スマホは信用できない。
    バックドアのもそうだし、未だに怖いんだよな。

    • スマホスキー より:

      パッチもしっかりあてて、安くてDSDSで技適付きの端末っていうのがモトローラ
      と思っていたのだが・・・
      Android Enterprise Recommendedにも入っているのにこんな結果とは。マジで
      googleしっかりしてほしいわ。HUAWEIの端末もしっかり入っているのに穴だらけ?
      あてにならないな。xperiaもDSDSの技適付きがあれば選ぶのに。
      通話できる端末2台持ちから1台にできて楽になったのになぁ。ちゃんと安心できる
      環境になってほしい。
      iphone、いい端末だと思うよ。価格が高いように感じるけれどASUSも価格が上がって
      来たから差が無くなってきた。ただ、そうするとまた2台持ちか・・・

      • 名無しさん より:

        > パッチもしっかりあてて、安くてDSDSで技適付きの端末っていうのがモトローラと思っていたのだが・・・

        Motorolaは中華資本下になったので、諦めましたねえ
        根本的に怖くなっちゃったねぇという感じで。
        何台か持って居ますが…

        技適は… まあ無視してますねえw

        • スマホスキー より:

          んー技適を諦めるなら、XZsDualが安くてよさげですねぇ。一応sonyは穴が少ない
          様ですし、アップデートも着実に行っているようですから。
          技適め・・・って、言うか、sonyめ技適を取りやがれって感じですが。

  4. さとー より:

    これで、高いけどiPhoneは安心って思っている人はただのバカ。
    iOSはただ比較対象がないだけで、セキュリティ的に優れているわけでは決してない。
    誤魔化しし放題。

    • スマホスキー より:

      この発言に何か確証があるのですか?誤魔化しし放題?何が誤魔化ししているのですか?
      iOSは早い段階でblueborneもWPA2における複数の脆弱性も修正しました。
      androidの多くの端末はどちらも修正できていません。googleは提供しているんだけど。

  5. C より:

    「1~3」って、雑だなあ。

  6. ママママテリアル より:

    Android端末は低スペックから高スペック端末まで種類が豊富で、用途と好みで選べるのが利点であり欠点でもある。しかし安全な運用に必要なセキュリティパッチやOSアップデートの期間や有無など各メーカーに任せていれるのは昔から相変わらずでこのズレをGoogleがそろそろ是正すべきだ。
    大事なところはメーカーの任意で投げっぱなしのくせに、GoogleがAndroid Enterprise Recommendedなる企業推奨端末として公表なんてしてる時点でお察しで、Googleの企業理念に疑問。

    要するにセキュリティパッチ、OSアップデート、対応の速さからみてGoogle認定のAndroidone端末の販売経路の拡大とPixelシリーズを日本で技適取って正式に売っt(殴

  7. 名無しさん より:

    質問です。

    この記事見ると
    ギャップが多いメーカーと比較的少ないメーカーがあることはわかりました。

    ギャップが比較的少ない、ソニー、サムスンなどは安全と言えるのでしょうか?

    というのも本文中に
    「ひどい場合にはセキュリティーパッチの月だけ変更して実際にはなんのパッチもインストールされていないケースもあるようです。」
    とありますが、言い方変えるとギャップが少なくても中身が変わってないってこともありえますよね?これって意味ない(というか悪質)ですよね?

    そこらへんの見極め方はどうすればいいのでしょうか?(メーカーの人格を信じるということですか)