セキュリティ会社SecurityResearchLabsの研究者KarstenNohlとJakobLellが、Androidデバイスの隠れたパッチギャップを発見しました. 2人は2年間の分析を実施しました 1,200 Android携帯, アムステルダムで開催されたHackintheBoxカンファレンスで結果を発表しました.
Androidの隠しパッチギャップの説明
Androidは過去にパッチを適用するのに苦労していました, だけで 17% 最近のパッチレベルで動作しているデバイスの数 2016, 研究者 指摘した. それ以来、状況は改善されましたが、ベンダーはパッチの頻度を改善しています, それでも、Androidは本来あるべきほど完全に保護されていないことがわかります.
すなわち, 新たにリリースされたAndroidスマートフォンの大規模な調査によると、ほとんどのAndroidベンダーは定期的にいくつかのパッチを含めることを忘れています, 生態系の一部をさまざまな脅威にさらしたままにする.
最新のオペレーティングシステムには、いくつかのセキュリティバリアが含まれています, たとえば、ASLRとサンドボックス, 電話をリモートでハッキングするには、通常、これらすべてに違反する必要があります. この複雑さのために, ハッカーがAndroidデバイスをリモートで侵害するには、通常、いくつかのパッチが不足しているだけでは不十分です。. その代わり, ハッキングを成功させるには、複数のバグを連鎖させる必要があります.
問題は、悪意のある攻撃者がAndroidフォンをハッキングする際の課題を認識していることです. したがって, 焦点は、ユーザーが悪意のあるアプリケーションをインストールするように誘惑されるソーシャルエンジニアリングのトリックにあります. サードパーティのストアから、場合によってはGoogle Playからダウンロードされた感染アプリに起因する、多くの感染が見られます。.
デバイスにインストールしたら, アプリは過剰な権限を付与し、ハッカーは自分がやろうとしていることは何でもできます. 言い換えると, Androidスマートフォンにアクセスするために、ハッカーは複雑なハッキング活動を実行する必要はありません。. 彼らはただユーザーをだまして悪いアプリをインストールさせる必要があります. もちろん, 国家が後援する攻撃者は、ステルスな方法で操作でき、攻撃にゼロデイ欠陥を使用することがよくあります。.
Androidのパッチレベルに注意してください, 研究者のアドバイスは
パッチ適用は、Androidですでに見つかっているさまざまなセキュリティレイヤーの有効性を維持するために非常に重要です. 今では毎月のパッチが多くの電話で受け入れられているベースラインです, 関連するすべてのパッチをカバーするために、毎月の更新を要求する時が来ました.
ユーザーは、SnoopSnitchと呼ばれる無料アプリを使用してAndroidスマートフォンのパッチレベルを測定することにより、デバイスに関するベンダーのパッチ適用の主張を確認できます。. SnoopSnitch ユーザーの電話のファームウェアを分析するように設計されています, 脆弱性のパッチステータスを含む詳細なレポートを提供します (CVE) 毎月.