Android端末の大部分でパッチが不完全、独セキュリティ企業調査

　Googleでは毎月、Android向けのセキュリティパッチ情報をリリースしているが、ドイツのセキュリティ調査機関「Security Research Labs」によれば、このパッチがすべて適用されている端末はごく一部との調査結果を発表した。

　SRLでは、12以上のベンダーが2017年にリリースしたスマートフォン1200機種のファームウェアをテスト。最新のパッチレベルが適用されたデバイスは、2016年にはわずか17％だったが、これが向上していたという。

　ただし、これは依然として不完全であるとしている。2017年10月のAndroidパッチが適用されたスマートフォンのうち、脆弱性の深刻度が“Critical”または“High”の脆弱性が未修正の製品をベンダー別にみた場合、Google、Sony、Sumsung、Wikoの4社が0～1件で最も少ない一方、TCLとZTEは4件以上が未適用だった。

　メーカーにより、対象製品が5～9台から50台以上と異なる点や、調査が全パッチを対象としない点にも触れつつ、SRLでは「実際にインストールされているパッチをユーザーが知ることはほとんど不可能」とする一方、SRLがリリースしている「SnoopSnitch」アプリで、スマートフォンの脆弱性を調査可能としている。

Xperia X Performance F8132の脆弱性調査結果

　なお、最新のAndroidには、ASLR（Address Space Layout Randomization）やサンドボックスなどのセキュリティ機能を搭載しており、ハッキングするためには複数の脆弱性を連鎖させる必要があるため、難易度が高いとしている。

　また、MediaTekのチップを採用するスマートフォンはパッチの適用率が低く、平均9.7のパッチが欠落していたという。SRLでは、安価なスマートフォンほどパッチをスキップする可能性が高いとの見方も示している。