Android OSの新バージョンが提供された時点でアップグレードしないユーザーは、デバイスを危険にさらしている可能性が高い。Webセキュリティ会社のDuo Security社は、このような調査結果を発表しました。アップグレードが遅れることで、全Androidデバイスのうち約半数はハッカーが悪用できるぜい弱性を残すこととなり、デバイスが乗っ取られる可能性は高まります。
Duo Security 社は昨年夏、Androidのぜい弱性をスキャンする無料アプリ「X-Ray」を発表しました。調査で明らかになった問題傾向は、このアプリで収集した予備データから判明しました。
Androidユーザーは、概して古いオペレーティングシステムを使用しています。原因は、モバイルプラットフォームの中で最大の市場シェアを誇るAndroidには、セキュリティアップグレードやパッチを含む更新をいつまでにプッシュするといった期限が統一されていないからです。それどころか、キャリアはそれぞれ期限を設定してプッシュしなければならず、ユーザーはというと、更新をインストールする義務はありません。一方で、Apple社の場合、キャリアにかかわらず全ユーザーに対してiOSの更新を同時にプッシュしています。
Duo Security社のX-Rayアプリは、Androidデバイスの既知のぜい弱性をスキャンする製品です。ここ数年、攻撃者は不正アプリやその他の既知のぜい弱性を悪用し、Androidデバイスを狙ってきました。
今回の調査結果について、Duo Security社のJon Oberheide氏はブログの中でこう述べています。「X-Rayの発表後、私たちは世界中の20,000台以上のAndroidデバイスからデータを収集してきました。その初期のデータを分析した結果、半数以上のAndroidデバイスにはぜい弱性に対するパッチが適用されていないことが分かりました。このようなぜい弱性のあるデバイスは、不正アプリや攻撃者に悪用される危険性があります」。
もっとも、50%という数字はあくまで控えめに見積もった結果であると、Oberheide氏は述べます。そして、調査結果からも分かるとおり、更新が利用可能になったらすぐに適用することが重要と強調しました。
「キャリアは、Androidプラットフォームのぜい弱性への修正パッチ適用について、非常に保守的です。そのため、ユーザーのモバイルデバイスは数か月、ときには何年もの間、ぜい弱なまま放置されることがあります」(Oberheide 氏)。