Androidの断片化はセキュリティ上の強みになる？

Androidの弱点として指摘されることも多いOSの断片化だが、セキュリティの面ではむしろ強みであるとの見解をモバイルペイメント企業Squareでセキュリティ責任者を務めるDino Dai Zovi氏がBlack Hat Asiaでの基調講演で示したそうだ(The Registerの記事)。

Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。

ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。

Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべきだという点を強調していたとのことだ。　スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | Android

　関連ストーリー：
多くのAndroid端末で「Stagefright」脆弱性が残っている 2016年03月29日
Android LollipopのシェアがKitKatを超える 2016年03月13日
AndroidのStageFright機能に新たな脆弱性 2015年10月03日
Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響 2015年08月01日
Androidでビデオメッセージを受信するだけでデバイスが乗っ取られる脆弱性が確認される 2015年07月28日
Androidの断片化、売れ行きへの影響は限定的？ 2013年06月23日
Google、断片化対策のためAndroidのSDKに新たな利用条件を設定 2012年11月21日
Android 用アプリ開発が難しいのは機種数の多さだということがよくわかる図 2012年06月08日