banner
ニュース センター
一流のコンポーネント、正確な品質管理。

Android のセキュリティは、過去 10 年間で飛躍的に向上しました。その方法は次のとおりです。

Aug 24, 2023

Android は脆弱性の「有毒な地獄」と言われていましたが、もはやそうではありません。

現在、Android は地球上で最も使用されている安全なオペレーティング システムの 1 つですが、以前からそうであったわけではありません。 実際、2014 年に ZDNet が Android を脆弱性の「有害な地獄」と呼んだのは有名で、その年の iPhone 発表会でティム・クック氏もこの言葉を引用しました。 クック氏は、Android は非常に細分化されており、アップデートの到着も非常に遅いため、「間違って Android 携帯電話を購入した」貧しい人々が、iPhone を所有するより良い者の安全に近い安全を享受できる方法はないと強調しました。

ただし、これがすべてではありませんし、今日では確かに正確ではありません。

一番最初の iPhone を思い出してみると、2G で接続し、およそ 14 個のアプリがあり、膨大な量のノイズと粒子のある写真を撮影していました。 しかし、Apple にとっての利点は、App Store が登場する前には、これら 14 個のアプリすべてを含むハードウェアとソフトウェアを自社で作成したことです。 Apple はエクスペリエンス全体を管理していました。これは、Apple が望むときにいつでもアップデートをプッシュできることも意味していました。

対照的に、Android の初期の頃は少し違っていて、ことわざのキッチンにはもっと多くの料理人がいました。 まず、Google が Android の新しいバージョンをリリースし、その後、チップメーカーが携帯電話が使用する CPU で動作するように適応させました。 その後、メーカーは Android を自分のやり方で操作し、新しい機能やアプリを追加し、見た目について多くのことを変更する必要がありましたが、多くの場合は悪化しました。 次に、それがネットワーク ブランドの携帯電話の場合は通信事業者に連絡する必要があり、通信事業者はそれが自社のネットワーク上で動作することを確認すると同時に、さらに多くのブロートウェアを突っ込みます。

そして、運が良ければ、新しい Android バージョンがリリースされてからおそらく 6 か月後、普通の人であるあなたは、それを実際に自分の携帯電話に入手できるでしょう。それは、あなたが望んでいたかもしれないし、望んでいないかもしれないいくつかの追加機能とともにありました。 Android エコシステムの 99% にとって、これがアップデートの仕組みであり、大きな問題点でした。 レストランで高級ハンバーガーを注文して、フランチャイズのオーナーと店員が頼んでもいない奇妙でひどいトッピングを大量に追加するまで待たなければならないようなものです。

Android スマートフォンを持っていない唯一の人は、追加のソフトウェアも含まれるアップデートを入手するのに永遠に時間がかかるのは、Google Nexus の所有者でした。 これらの携帯電話はバニラ Android を実行し、何も追加されることなく Google から直接アップデートを受け取りました。 問題は、それらが拡大し続ける Android のパイのほんの一部にすぎないということでした。

この状況全体は、さまざまな理由から非常に悪いものでしたが、大きな理由の 1 つはセキュリティでした。 Google や Qualcomm が食物連鎖のさらに上流でセキュリティ バグを修正する必要があり、そのバグが実際にほとんどのデバイスに適用されるまでさらに何か月も待たなければならないのは、明らかに良いことではありません。

当時の Android の性質と、アップデートに対する携帯電話メーカーの態度により、状況はさらに悪化しました。 既存の携帯電話のソフトウェア アップデートは、面倒なことだと思われることがよくありました。修正したり追加したりするものはすべて、元の ROM に入れておくべきだったため、ソフトウェア アップデートを作成しなければならなかった場合は、ほとんど失敗するようなものでした。 その結果、当時の Android 世界のほとんどすべての人のアップデート実績は、今日の標準からすると基本的にゴミ箱レベルでした。 運が良ければ、主力機種は数か月後に 1 つのメジャーな OS アップデートを入手できるでしょう。 さらに悪いことに、セキュリティ パッチはまだ存在していませんでした。

これ以上悪化するはずがないかのように、この時点では重要なコア Android アプリのほぼすべてがまだファームウェアに組み込まれていました。 たとえば、Web ブラウザのアップデートは OTA にパッケージ化して、メーカーや通信事業者による認定を待つ必要があります。 そのため、たとえば Google のブラウザ エンジン コードに脆弱性が発生した場合、修正を広範囲に、または迅速に配布する方法はありませんでした。 つまり、人によってカスタマイズが異なり、マルウェアやその他の危険なものに対する脆弱性のレベルが異なるバージョンを使用することになります。 したがって、Android の断片化が発生します。

特に iPhone の最初の数世代の間は、iOS にセキュリティ問題が「決して」なかったということは言う価値があります。 公式アプリストアの欠如は、スクリプトキディやホワイトハッカーにとって、iPhone を破壊して新しくエキサイティングな動作をさせようとする大きな動機となりました。 当時、iPhone をジェイルブレイクする主な方法の少なくとも 1 つは、ブラウザのバグを悪用することでした。 基本的に、Web ページは元の iPhone のセキュリティを破る可能性があります。

違いは、Apple がセキュリティ ホールが発生したときに、より迅速に塞ぐことができ、より多くのユーザー ベースにわたってそれを行うことができたことです。 Android側ではそうではありません。

これらはすべて、Android バージョン 4 と 5 の時代に Google が提供していたとされる「有毒な地獄料理」でした。今になって振り返ってみると、Google は Android に対する管理を維持するためにもっと努力すべきだったと言うのは簡単です...または、更新がより自由かつ頻繁に行われるように、最初からシステムを導入します。

ただし、Android が最初に開発された 2007 年当時、世界は別の場所であったことは覚えておく価値があります。 実際に存在したスマートフォンは、主にビジネスマン向けの原始的な電子メール送信装置でした。 モバイル決済は現実には程遠いものでした。 ウーバーはあと2年は設立されないでしょう。 ささやかなリツイートすら存在しなかった。

重要なのは、当時は、その後 10 年にわたって、これほど多くの重要な日常業務がどのようにして携帯電話に関連付けられるのか、また、それがどのようにして貴重なハッキング可能な個人データの宝庫になるのか、明らかではなかったということです。 Google の名誉のために言っておきますが、Android の安全性を大幅に高め、セキュリティ修正をより多くの人に迅速に提供するために、ここ数年で非常に多くの変更が加えられました。 これにはいくつかの理由があります。

たとえば、Google Play 開発者サービスは、携帯電話で更新されているのを見たことがあるかもしれませんが、あまり注目していなかったかもしれません。 しかし、これは実際には、Google が Android の安全性を維持し、何年も新しいファームウェアを入手していないおばあちゃんの古い Galaxy S7 に Android 13 の新機能を導入する方法において非常に重要な部分です。

Play サービスの場合、これはシステム アプリであるため、携帯電話上のすべてのものに対するトップレベルの A+ プラチナ層の特権アクセスが与えられます。 Play ストアからダウンロードする通常のアプリよりもはるかに多くのことができ、他のアプリをインストールまたは削除したり、紛失または盗難された場合にデバイスをリモートで消去したりすることもできます。

Play Services などのシステム アプリは、メーカーによって携帯電話に読み込まれる必要がありますが、一度読み込まれると、バックグラウンドで自動的に更新されます。 つまり、新しいバージョンでは新しい機能を安全に追加できるということです。 そして、Play Services は OS のいたるところに触手を伸ばしているため、たとえば、Android 13 の安全なフォト ピッカー機能は、新しいファームウェアをインストールすることなく、はるかに古いバージョンの OS を実行している携帯電話に展開できる可能性があります。

Play Services には、悪意のあるアプリがインストールされる前に停止したり、すでに存在する場合は削除したりできる、Android の OS レベルのマルウェア対策機能である Google Play Protect も含まれています。 Play サービスに関するもう 1 つの重要な点は、Android の古いバージョンを完全にサポートしていることです。 Google は通常、約 10 年前の Android バージョンでのみ Play サービスのサポートを終了します。 現在、2023 年の夏ですが、Play Services の現在のバージョンは 2013 年の Android 4.4 KitKat まで遡ってサポートされています。 この一見ランダムに見えるちょっとしたオタクのトリビアは、Android のかなり古いバージョンでもある程度の安全性を維持するのに役立つため、重要です。 それ自体が Android セキュリティ戦略の大きな部分を占めています。

興味深いことに、Play Services は、世界中の多くの国の新型コロナウイルス感染症への対応において興味深い役割を果たしました。 Play Services 経由で配布されたアップデートにより、Google は Apple と共同で開発した接触通知システムを Android ユーザー ベース全体に一気に展開することができました。 Play Services がなければ、この種の取り組みには何か月もかかり、これほど多くの人に届くことはなかったでしょう。

実際、10年近く前にAndroidの断片化を修正しようとしたGoogleの取り組みが、パンデミック中に間接的にかなりの数の命を救うことになった可能性が高いと考えるのは、かなりクレイジーだ。

マルウェア アプリも 1 つの問題ですが、悪意のある者が携帯電話を制御したり、データを盗もうとしたりする方法は他にもあります。 ブラウザの悪用はそのかなり大きな部分を占めており、現在では Chrome ブラウザと他のアプリ内の Web コンテンツの WebView コードの両方が Play ストアを通じて更新されます。 実際、これは、かつてファームウェアのアップデートが必要だった Android のさまざまな部分に当てはまります。 他には、Google Phone ダイヤラー、Android メッセージ、無数の舞台裏のアプリなどがあります。

つまり、2023 年の今日、悪意のある Web ページが携帯電話をクラッシュさせたり、パスワードを盗んだり、スターバックスのアプリで注文を台無しにしたりする可能性がある、厄介なブラウザのエクスプロイトが発見されたとします。 あなたが使用している Android のバージョンに関係なく、Google は Chrome 自体とウェブ コンテンツを表示する他のアプリの両方を対象とするアップデートを Play ストア経由でプッシュ配信することができます。 いわゆる有害なヘルシチューの時代に戻ると、同じ修正をすべての Android スマートフォンに展開するには完全なファームウェアのアップデートが必要でした。より多くの人々にとってはさらに多くの作業が必要で、数か月、場合によっては数年もかか​​っていたでしょう。日々の代わりに。

別の種類のエクスプロイトは、2015 年の Android セキュリティ界で大きなニュースでした。「Stagefright」バグは、Android の画像とビデオのレンダリングを処理する部分に影響を及ぼしました。写真が適切な方法で改ざんされた場合、ユーザーに悪影響を及ぼす可能性があります。あなたの電話。 当時、Stagefright コンポーネントはファームウェアを完全にアップデートしないとアップデートできなかったため、これは大きな問題でした。 繰り返しになりますが、余分な作業、認証、そして待機している間に、幽霊の絵に相当するデジタル版がいつでもあなたの携帯電話を全開にする可能性があります。

その不気味な Stagefright セキュリティの恐怖による余波は 2 つありました。1 つ目は、Google が Android 向けの月次セキュリティ パッチのリリースを開始し、セキュリティ レベルを特定の日付に結び付けました。 それだけでなく、Google は Android のモジュラー化をより真剣に取り組むようになり、Stagefright などの OS の一部を完全なファームウェアのアップデートを必要とせずに Play ストア経由でアップデートできるようになりました。

新しい Android セキュリティ パッチは、今でも毎月リリースされています。 また、最新バージョンだけでなく古いバージョンの OS もカバーしているため、携帯電話がまだ Android 11 または 12 を搭載している場合でも、保護することができます。 一般に、Google Pixel と Samsung の主力製品が最初にセキュリティ パッチを取得し、Motorola のような他の企業は残りのエコシステムに遅れて汗だくでジョギングし、四半期ごとに契約上の最低限 1 つのパッチをリリースします。

これはこの方程式の裏返しです。Google は現在、携帯電話メーカーに対し、自社の端末に Google サービスを搭載した Android を望む場合、最低限のサポートを約束することを法的に義務付けています。 2018年にThe Vergeは、Googleが少なくとも90日ごとに2年間のセキュリティパッチを適用することを義務付けていると報じた。

最近では、Samsung や OnePlus などの人気ブランドが、おそらく Google の裏での奨励もあって、4 年間の OS アップデートと 5 年間のセキュリティ パッチを約束しています。

最近ではアップデートがより頻繁に公開されるようになりましたが、特にまったく新しい OS バージョンのような大きなアップデートの場合は、依然として多くのエンジニアリング作業が必要です。 Android は、Google のマウンテンビュー チョコレート工場から出荷された時点では、Samsung の One UI や Oppo の ColorOS のようには見えませんよね。 そして、初期の頃は、Samsung や Oppo のように、Android のまったく新しいバージョンを、カスタマイズされた以前のバージョンのフォークに組み込む必要がありました。 それは、食事がすでに調理されている後に材料の一部を交換しようとするようなもので、最終的にはほとんど最初からやり直す必要があります。

Googleの解決策は? 基本的には、TV ディナー プレートです。その食事を 2 つの異なるセクションに分けて提供します。 メーカーのカスタマイズ (One UI または ColorOS のすべて) をコア OS から分離します。 つまり、もう一方をいじることなく、一方をより簡単に更新できるということです。 この取り組み全体は Project Treble と呼ばれており、携帯電話では確認できませんが、現在所有している Android デバイスのアップデートが 7 ~ 8 年前に使用していたものよりもかなり早くなっていることに気づいたかもしれません。

それに加えて、Google はかなり早い段階で Android の将来のバージョンを OEM と共有し始めました。 そのため、Android 14 の最初の開発者向けプレビューが公開されるまでに、Samsung 社などはおそらく 2 ~ 3 か月間、舞台裏で Android 14 を覗いていたはずです。 セキュリティ パッチに関しては、メーカーが有利なスタートを切れるよう、1 か月前に非公開で共有されます。

それはそれで良いことですが、人々は携帯電話を数年以上保管することがよくあります。 新しいファームウェアをリリースするのは依然として重要な作業量であり、これらのエンジニアは無償で働いているわけではありません。 2019 年の Project Mainline では、Android 自体がよりモジュール化され、WiFi、Bluetooth、メディア処理などのソフトウェア モジュールが追加されました。 これらのモジュールは、ファームウェア アップデート プロセス全体を実行するという面倒な手順を踏むことなく、Google またはメーカーによって個別に直接アップデートできます。

携帯電話で Google Play システム アップデートを見たことがあるなら、それがそれです。 次のように考えてください。家の電球が切れても、今では電球を交換するだけで済みます。以前は外に出て家を焼き払い、その上に新しい電球を建てていました。それ。

Android のセキュリティの脅威は、2023 年になっても依然として発生しています。しかし、有毒な地獄の時代と今日の違いは、それらを無力化するツールがたくさんあるということです。 2015 年の Stagefright 脆弱性を例に考えてみましょう。 このバグの影響を受ける Android の部分は、現在 Project Mainline モジュールであり、ファームウェアを完全にアップデートしなくても Android 10 まで簡単にアップデートできます。

別の例として、2014 年の「Fake ID」バグにより、悪意のあるアプリが特別な権限を持つアプリになりすまし、データが攻撃者に公開される可能性がありました。 今日そのようなことが起こったとしても、Play Protect がそれを途中で阻止し、Android ランタイム モジュールのメインライン アップデートで根本的なバグをすぐに潰すことができるでしょう。 それに加えて、Google は暗号化とメモリ管理に関して水面下で多くの取り組みを行っており、将来 Android の脆弱性が発生した場合に、それに対して役立つことを行うことが困難になります。

完全に安全なソフトウェアは存在しません。 ゼロデイ エクスプロイト (つまり、パッチが適用されていない秘密の脆弱性) は、すべてのオペレーティング システムに存在し、国家によって使用され、ブラック マーケットで巨額で販売されます。 最近、ジェフ・ベゾス、エマニュエル・マクロン、リズ・トラスなど、著名人がゼロデイベースの恐ろしく洗練されたマルウェアの標的になった例が数多くあります。 2022年、英国の元首相はおそらくロシアの工作員によるハッキングを受け、電話番号を変更し続けなければならなかったと伝えられている。 最終的に、彼女のデバイスは完全に侵害されていると見なされ、基本的にチェルノブイリの石棺に相当するスマートフォンに閉じ込められました。

なぜ彼女が電話番号を変更したのか疑問に思っているなら、彼女の携帯電話が、電話番号を知っているだけで Android または iOS デバイスを乗っ取ることができると伝えられているイスラエル製スパイウェア Pegasus のようなものの標的になった可能性があります。 ロシアは外国製のスパイウェアを使用していないと伝えられているが、同様のゼロデイエクスプロイトに基づいた独自の同等のスパイウェアを持っている可能性が高い。

これらすべては、100% のセキュリティは幻想であり、どのデバイスや OS を使用していても、それは達成できないことを示しています。 それにもかかわらず、Android は、10 年前に主張できたような「脆弱性の地獄」であることはとうに過ぎています。 政府首脳や1兆ドル企業のCEOではない私たちが遭遇する可能性のある園芸品種の脅威に対処するには、はるかに有利な立場にあります。

さらに、一般の人は、電話ベースのマルウェアに刺されるよりも、ソーシャル エンジニアリングやその他の詐欺の被害に遭う可能性がはるかに高くなります。 この種の詐欺は多くの国で増加傾向にあり、英国では2020年から2022年の間に25%増加し、そのほとんどがコンピューターの悪用に関係している。 スマートフォンのセキュリティが向上するにつれ、多くの悪者は、画面に取り付けられたふにゃふにゃした肉厚のコンポーネント、つまりあなたを悪用する方が実は簡単であることに気づいたと言えるでしょう。

私はアダム コンウェイです。アイルランドのテクノロジー愛好家でコンピューター サイエンスの学士号を取得しており、XDA の主任テクニカル エディターを務めています。 私の学士論文は、パフォーマンスなどの Android アプリやスマートフォンの非機能要素のベンチマークの実行可能性について行われました。私は 2017 年から何らかの形でテクノロジー業界で働いています。暇なときは、おそらく私が Counter-Strike か VALORANT をプレイしているのを見つけたので、[email protected]、Twitter では @AdamConwayIE、Instagram では adamc.99、または Reddit では u/AdamConwayIE までご連絡ください。

Alex は 10 年以上にわたってモバイル テクノロジーを取材してきました。 彼は現在、光沢のあるガジェットにカメラを向けたり、マイクに向かって話したりする XDA のビデオ コンテンツを主導しています。

今日の XDA ビデオ スクロールしてコンテンツを続けます