Android は脆弱性の「有毒な地獄」と言われていましたが、もはやそうではありません。
iPhone 14 Pro Max、Google Pixel 7 Pro、Xiaomi 13 Ultra、Galaxy S23 Ultra
現在、Android は地球上で最も使用されている安全なオペレーティング システムの 1 つですが、以前からそうであったわけではありません。 実は2014年に遡ると、 ZDNet 彼が Android を脆弱性の「有害な地獄」と呼んだのは有名で、当時ティム・クックはその年の iPhone 発表時にこの言葉を引用しました。 クック氏は、Android は非常に断片化されており、アップデートの到着が非常に遅いため、それらを実現する方法はないと強調しました。 「間違って Android 携帯電話を購入した」貧しい人々は、iPhone を所有しているのとほぼ同じ安全性をどこでも享受できる より良い人。
ただし、これがすべてではありませんし、今日では確かに正確ではありません。
ささやかな始まり
一番最初の iPhone を思い出してみると、2G で接続し、およそ 14 個のアプリがあり、膨大な量のノイズと粒子のある写真を撮影していました。 しかし、Apple にとっての利点は、App Store が登場する前には、これら 14 個のアプリすべてを含むハードウェアとソフトウェアを自社で作成したことです。 Apple はエクスペリエンス全体を管理していました。これは、Apple が望むときにいつでもアップデートをプッシュできることも意味していました。
対照的に、Android の初期の頃は少し違っていて、ことわざのキッチンにはもっと多くの料理人がいました。 まず、Google が Android の新しいバージョンをリリースし、その後、チップメーカーが携帯電話が使用する CPU で動作するように適応させました。 その後、メーカーは Android を自分のやり方で操作し、新しい機能やアプリを追加し、見た目について多くのことを変更する必要がありましたが、多くの場合は悪化しました。 次に、それがネットワーク ブランドの携帯電話の場合は通信事業者に連絡する必要があり、通信事業者はそれが自社のネットワークで動作するかどうかを確認するとともに、問題を解決する必要があります。 もっと まさにそれのためのブロートウェア。
その後、運が良ければ、新しい Android バージョンがリリースされてから 6 か月後、通常のユーザーとして 実際にあなたの携帯電話にそれが入ってくるでしょう - あなたが持っているかもしれないし持っていないかもしれないいくつかの追加機能とともに 欲しかった。 Android エコシステムの 99% にとって、これがアップデートの仕組みであり、大きな問題点でした。 レストランで高級ハンバーガーを注文して、フランチャイズのオーナーと店員が頼んでもいない奇妙でひどいトッピングを大量に追加するまで待たなければならないようなものです。
Android スマートフォンを持っていない唯一の人は、追加のソフトウェアも含まれるアップデートを入手するのに永遠に時間がかかるのは、Google Nexus の所有者でした。 これらの携帯電話はバニラ Android を実行し、何も追加されることなく Google から直接アップデートを受け取りました。 問題は、それらが拡大し続ける Android のパイのほんの一部にすぎないということでした。
断片化によりセキュリティ上の問題が発生する
この状況全体は、さまざまな理由から非常に悪いものでしたが、大きな理由の 1 つはセキュリティでした。 Google や Qualcomm が食物連鎖のさらに上流でセキュリティ バグを修正する必要があり、そのバグが実際にほとんどのデバイスに適用されるまでさらに何か月も待たなければならないのは、明らかに良いことではありません。
当時の Android の性質と携帯電話メーカーの態度により、状況はさらに悪化しました。 に向かって 更新情報。 既存の携帯電話のソフトウェア アップデートは、面倒なことだとみなされることが多く、まるで失敗するようなものでした。 修正したり追加したりするものはすべて元の ROM にあるはずだったので、作成する必要がありました。 その結果、当時の Android 世界のほとんどすべての人のアップデート実績は、今日の標準からすると基本的にゴミ箱レベルでした。 運が良ければ、主力機種は数か月後に 1 つのメジャーな OS アップデートを入手できるでしょう。 さらに悪いことに、セキュリティ パッチはまだ存在していませんでした。
これ以上悪化するはずがないかのように、この時点では重要なコア Android アプリのほぼすべてがまだファームウェアに組み込まれていました。 たとえば、Web ブラウザのアップデートは OTA にパッケージ化して、メーカーや通信事業者による認定を待つ必要があります。 そのため、たとえば Google のブラウザ エンジン コードに脆弱性が発生した場合、修正を広範囲に、または迅速に配布する方法はありませんでした。 つまり、人によってカスタマイズが異なり、マルウェアやその他の危険なものに対する脆弱性のレベルが異なるバージョンを使用することになります。 したがって、Android の断片化が発生します。
特に iPhone の最初の数世代の間は、iOS にセキュリティ問題が「決して」なかったということは言う価値があります。 公式アプリストアの欠如は、スクリプトキディやホワイトハッカーにとって、iPhone を破壊して新しくエキサイティングな動作をさせようとする大きな動機となりました。 当時、iPhone をジェイルブレイクする主な方法の少なくとも 1 つは、ブラウザのバグを悪用することでした。 基本的に、Web ページは元の iPhone のセキュリティを破る可能性があります。
違いは、Apple がセキュリティ ホールが発生したときに、より迅速にそれらのホールを塞ぐことができ、それを世界中で行うことができるということでした。 多くの ユーザーベースのより大きな部分。 Android側ではそうではありません。
Googleは悪かったが、Androidは今ではずっと良くなった
これらはすべて、Android バージョン 4 と 5 の時代に Google が提供していたとされる「有毒なヘルシチュー」でした。 今になって振り返ってみると、Google は Android に対するコントロールを維持するためにもっと行動すべきだったと言うのは簡単です... または、アップデートがより自由かつ頻繁に行われるように、最初からシステムを導入します。
ただし、Android が最初に開発された 2007 年当時、世界は別の場所であったことは覚えておく価値があります。 実際に存在したスマートフォンは、主にビジネスマン向けの原始的な電子メール送信装置でした。 モバイル決済は現実には程遠いものでした。 ウーバーはあと2年は設立されないでしょう。 ささやかなリツイートすら存在しなかった。
重要なのは、当時は、その後の 10 年間にこれほど多くの重要な日常業務がどのようにして行われるのかが明らかではなかったということです。 携帯電話が携帯電話に結び付けられているとは限らないし、携帯電話が貴重なハッキング可能な個人情報の宝庫になるわけもない。 データ。 Google の名誉のために言っておきますが、Android の安全性を大幅に高め、セキュリティ修正をより多くの人に迅速に提供するために、ここ数年で非常に多くの変更が加えられました。 これにはいくつかの理由があります。
たとえば、Google Play 開発者サービスは、携帯電話で更新されているのを見たことがあるかもしれませんが、あまり注目していなかったかもしれません。 しかし、これは実際には、Google が Android の安全性を維持し、何年も新しいファームウェアを入手していないおばあちゃんの古い Galaxy S7 に Android 13 の新機能を導入する方法において非常に重要な部分です。
Play サービスの場合、これはシステム アプリであるため、携帯電話上のすべてのものに対するトップレベルの A+ プラチナ層の特権アクセスが与えられます。 Play ストアからダウンロードする通常のアプリよりもはるかに多くのことができ、他のアプリをインストールまたは削除したり、紛失または盗難された場合にデバイスをリモートで消去したりすることもできます。
Play Services などのシステム アプリは、メーカーによって携帯電話に読み込まれる必要がありますが、一度読み込まれると、バックグラウンドで自動的に更新されます。 つまり、新しいバージョンでは新しい機能を安全に追加できるということです。 そして、Play Services は OS のいたるところに触手を張り巡らせています。これが、たとえば Android 13 の安全なフォトピッカー機能の理由です。 新しいファームウェアをインストールする必要がなく、はるかに古いバージョンの OS を実行している携帯電話に展開できます。
Play Services には、悪意のあるアプリがインストールされる前に停止したり、すでに存在する場合は削除したりできる、Android の OS レベルのマルウェア対策機能である Google Play Protect も含まれています。 Play サービスに関するもう 1 つの重要な点は、Android の古いバージョンを完全にサポートしていることです。 Google は通常、約 10 年前の Android バージョンでのみ Play サービスのサポートを終了します。 現在、2023 年夏ですが、Play Services の現在のバージョンは、2013 年の Android 4.4 KitKat まで遡ってサポートされています。 この一見ランダムに見えるちょっとしたオタクのトリビアは、Android のかなり古いバージョンでもある程度の安全性を維持するのに役立つため、重要です。 それ自体が Android セキュリティ戦略の大きな部分を占めています。
興味深いことに、Play Services は、世界中の多くの国の新型コロナウイルス感染症への対応において興味深い役割を果たしました。 Play Services 経由で配布されたアップデートにより、Google は Apple と共同で開発した接触通知システムを Android ユーザー ベース全体に一気に展開することができました。 Play Services がなければ、この種の取り組みには何か月もかかり、これほど多くの人に届くことはなかったでしょう。
実際、Android の断片化を修正するための Google の取り組みが 10 年近く前に行われていた可能性が高いと考えるのはかなりクレイジーです。 間接的に パンデミックの最中にかなりの数の命を救うことができました。
舞台負け
マルウェア アプリも 1 つの問題ですが、悪意のある者が携帯電話を制御したり、データを盗もうとしたりする方法は他にもあります。 ブラウザの悪用はそのかなり大きな部分を占めており、現在では Chrome ブラウザと他のアプリ内の Web コンテンツの WebView コードの両方が Play ストアを通じて更新されます。 実際、これは、かつてファームウェアのアップデートが必要だった Android のさまざまな部分に当てはまります。 他には、Google Phone ダイヤラー、Android メッセージ、無数の舞台裏のアプリなどがあります。
つまり、2023 年の今日、悪意のある Web ページが携帯電話をクラッシュさせたり、パスワードを盗んだり、スターバックスのアプリで注文を台無しにしたりする可能性がある、厄介なブラウザのエクスプロイトが発見されたとします。 あなたが使用している Android のバージョンに関係なく、Google は Chrome 自体とウェブ コンテンツを表示する他のアプリの両方を対象とするアップデートを Play ストア経由でプッシュ配信することができます。 いわゆる有害なヘルシチューの時代には、同じ修正を展開するには完全なファームウェアのアップデートが必要でした。 すべての Android スマートフォンに: より多くの人々にとってはさらに多くの作業が必要であり、通常では数か月、あるいは数年もかかっていたでしょう。 日々。
別の種類のエクスプロイトは、2015 年の Android セキュリティ界における大きなニュースでした。 「Stagefright」バグは、画像とビデオのレンダリングを処理する Android の部分に影響を及ぼしました。写真が適切な方法で改ざんされた場合、携帯電話に悪影響を及ぼす可能性があります。 当時、Stagefright コンポーネントはファームウェアを完全にアップデートしないとアップデートできなかったため、これは大きな問題でした。 繰り返しになりますが、余分な作業、認証、そして待機している間に、幽霊の絵に相当するデジタル版がいつでもあなたの携帯電話を全開にする可能性があります。
その不気味な Stagefright セキュリティの恐怖による余波は 2 つありました。1 つ目は、Google が Android 向けの月例セキュリティ パッチのリリースを開始し、セキュリティ レベルを特定の日付に結び付けました。 それだけでなく、Google は Android のモジュラー化をより真剣に取り組むようになり、Stagefright などの OS の一部を完全なファームウェアのアップデートを必要とせずに Play ストア経由でアップデートできるようになりました。
新しい Android セキュリティ パッチは、今でも毎月リリースされています。 また、最新バージョンだけでなく古いバージョンの OS もカバーしているため、携帯電話がまだ Android 11 または 12 を搭載している場合でも、保護することができます。 一般的に、 Googleピクセル サムスンの主力企業が最初にセキュリティ パッチを取得し、モトローラのような企業は残りのエコシステムに遅れて汗だくでジョギングし、四半期ごとに契約上の最低限 1 つのパッチをリリースします。
これはこの方程式の裏返しです。Google は現在、携帯電話メーカーに対し、自社の端末に Google サービスを搭載した Android を望む場合、最低限のサポートを約束することを法的に義務付けています。 2018年に遡ると、 ザ・ヴァージ 報告 Googleは、少なくとも90日に1回、2年間のセキュリティパッチを適用することを義務付けている
最近では、Samsung や OnePlus などの人気ブランドが、おそらく Google の裏での奨励もあって、4 年間の OS アップデートと 5 年間のセキュリティ パッチを約束しています。
最近ではアップデートがより頻繁に公開されるようになりましたが、特にまったく新しい OS バージョンのような大きなアップデートの場合は、依然として多くのエンジニアリング作業が必要です。 Android は、Google のマウンテンビュー チョコレート工場から出荷された時点では、Samsung の One UI や Oppo の ColorOS のようには見えませんよね。 そして、初期の頃は、Samsung や Oppo のように、Android のまったく新しいバージョンを、カスタマイズされた以前のバージョンのフォークに組み込む必要がありました。 それは、食事がすでに調理されている後に材料の一部を交換しようとするようなもので、最終的にはほとんど最初からやり直す必要があります。
Googleの解決策は? 基本的には、TV ディナー プレートです。その食事を 2 つの異なるセクションに分けて提供します。 メーカーのカスタマイズ (One UI または ColorOS のすべて) をコア OS から分離します。 つまり、もう一方をいじることなく、一方をより簡単に更新できるということです。 この取り組み全体は Project Treble と呼ばれています。携帯電話では表示されませんが、お気づきかもしれません あなたが現在所有している Android デバイスは、7 ~ 8 年使用していたものよりもかなり早くアップデートされる仕組み 前。
それに加えて、Google はかなり早い段階で Android の将来のバージョンを OEM と共有し始めました。 したがって、最初の開発者がプレビューするまでに、 アンドロイド14 公開されていたとしても、サムスンのような企業はおそらく数か月ほど舞台裏でそれを覗いていたのだろう。 セキュリティ パッチに関しては、メーカーが有利なスタートを切れるよう、1 か月前に非公開で共有されます。
それはそれで良いことですが、人々は携帯電話を数年以上保管することがよくあります。 新しいファームウェアをリリースするのは依然として重要な作業量であり、これらのエンジニアは無償で働いているわけではありません。 プロジェクトのメインライン 2019 年には Android 自体がよりモジュール化され、WiFi、Bluetooth、メディア処理などのソフトウェア モジュールが追加されました。 これらのモジュールは、ファームウェア アップデート プロセス全体を実行するという面倒な手順を踏むことなく、Google またはメーカーによって個別に直接アップデートできます。
携帯電話で Google Play システム アップデートを見たことがあるなら、それがそれです。 次のように考えてください。家の電球が切れても、電球を交換するだけで済みます... 以前は、外に出て家を焼き払い、その上に新しい家を建てていました。
セキュリティ保護が大幅に強化されました
Android のセキュリティ上の脅威は、2023 年になっても依然として発生しています。 しかし、有毒な地獄のシチューの時代と今日の違いは、それらを無力化するツールがたくさんあるということです。 2015 年の Stagefright 脆弱性を例に考えてみましょう。 このバグの影響を受ける Android の部分は、現在 Project Mainline モジュールであり、ファームウェアを完全にアップデートしなくても Android 10 まで簡単にアップデートできます。
別の例として、2014 年の「Fake ID」バグにより、悪意のあるアプリが特別な権限を持つアプリになりすまし、データが攻撃者に公開される可能性がありました。 今日そのようなことが起こったとしても、Play Protect がそれを途中で阻止し、Android ランタイム モジュールのメインライン アップデートで根本的なバグをすぐに潰すことができるでしょう。 それに加えて、Google は暗号化とメモリ管理に関して水面下で多くの取り組みを行っており、将来 Android の脆弱性が発生した場合に、それに対して役立つことを行うことが困難になります。
完全に安全なソフトウェアは存在しません。 ゼロデイ エクスプロイト (パッチが適用されていない秘密の脆弱性) はすべてのオペレーティング システムに存在し、国家によって使用され、ブラック マーケットで巨額で販売されます。 ジェフ・ベゾス、エマニュエル・マクロン、 リズ・トラス. 2022年、英国の元首相はおそらくロシアの工作員によるハッキングを受け、電話番号を変更し続けなければならなかったと伝えられている。 最終的に、彼女のデバイスは完全に侵害されていると見なされ、基本的にチェルノブイリの石棺に相当するスマートフォンに閉じ込められました。
なぜ彼女が電話番号を変更したのか疑問に思っている場合は、彼女の携帯電話が次のようなものの標的にされた可能性があります。 Pegasus、イスラエル製スパイウェア、携帯電話を持つだけで Android または iOS デバイスを乗っ取ることができると報告されている 番号。 ロシアは外国製のスパイウェアを使用していないと伝えられているが、同様のゼロデイエクスプロイトを基にした独自の同等のスパイウェアを持っている可能性が高い。
これらすべては、100% のセキュリティは幻想であり、どのデバイスや OS を使用していても、それは達成できないことを示しています。 それにもかかわらず、Android は、10 年前に主張できたような「脆弱性の地獄」であることはとうに過ぎています。 政府首脳や1兆ドル企業のCEOではない私たちが遭遇する可能性のある園芸品種の脅威に対処するには、はるかに有利な立場にあります。
さらに、一般の人は、電話ベースのマルウェアに刺されるよりも、ソーシャル エンジニアリングやその他の詐欺の被害に遭う可能性がはるかに高くなります。 この種の詐欺は多くの国で増加しており、英国では 2020 年から 2022 年の間に 25% 増加しました、ほとんどのケースはコンピューターの悪用に関連しています。 スマートフォンのセキュリティが向上するにつれ、多くの悪者は、画面に取り付けられたふにゃふにゃした肉厚のコンポーネント、つまりあなたを悪用する方が実は簡単であることに気づいたと言えるでしょう。