Android 4.4はセキュリティが向上しているか?

2013年11月18日

新しくリリースされたAndroid 4.4には、いつもながらにおいしそうなコード名が付けられており(今回は「KitKat」です)、いくらかのデザインの改良が施され、連絡先やハングアウトのアプリが強化され、そしてもちろん、セキュリティ関係の機能も変更されています。Android 4.4のセキュリティはどれほど向上しているのでしょうか。

kitkat_title

セキュリティの観点から言うと、Android 4.4の主要な改善点は2つのカテゴリに分けられます。証明書の取り扱いとOSの強化です。

デジタル証明書の取り扱いの改善

Android 4.4では、デバイスに認証局(CA)が追加された場合にユーザーに警告が出されるため、ローカルネットワーク内の中間者攻撃を見つけやすくなります。またGoogle Certificate Pinning によって、高度な技術を持つ攻撃者でもGoogleのサービスを介したネットワークトラフィックを傍受するのが難しくなります。ホワイトリストに含まれるSSL証明書がないと特定のGoogleドメインに接続できないためです。

Androidの最も大きな感染源はやはり、サードパーティのストアからダウンロードされる非公式アプリです

OSの強化

Androidの奥深くではLinuxコアが使われていますが、Googleはそこにいくらかの変更を加えて許可設定を強制するモードとし、権限昇格攻撃(ルートアクセスを取得しようと企むエクスプロイトなど)を防止しています。このため、Android 4.4ユーザーは自分のデバイスへルートアクセスしにくくなっています。良い点は何かといえば、ルートアクセスしづらいのはマルウェアにとっても同じだということです。Androidベースのデバイスへ感染するにあたり、ルートアクセスは重要なステップです。

これらの機能強化は概して、それほど大きな変化をもたらすことはなく、感染率が下がるわけでもないでしょう。Androidの最も大きな感染源はやはり、サードパーティのストアからダウンロードされる非公式アプリです。その部分については何も変わっていません。

断片化を解消するチャンス

Androidエコシステムの最も大きな問題点の1つは、OSのバージョンが多岐にわたるということです。たとえばAndroidの古いバージョンがいまだに、ユーザーのモバイルデバイスで使われている場合があります。この問題はバージョンの断片化と呼ばれています。例を挙げると、数年前にリリースされたAndroid 2.3をまだ使っているユーザーが25%以上います。ここで何よりも問題になるのは、セキュリティです。

Android 4.4はリソースの使用率が低いため、この問題に対応できるかもしれません。Android 4.4は、512MBのRAMでも動作可能です。したがって、古いデバイスにもインストールできる可能性があります。

ここで立ちはだかる問題は、技術的なことに詳しくないユーザーのほとんどは、ハードウェアベンダーの力を借りないとAndroidの更新を取得できないということです。悲しいかな、携帯電話メーカーの多くは更新を積極的に行いません。ユーザーにはもっと新しい端末を買ってほしいからです。これは、ユーザーベース全体のリスクを容易に高める要因となります。この問題が大きく取り扱われないのは残念なことです。