Androidに極めて深刻な脆弱性、MMSで端末制御可能に
http://www.itmedia.co.jp/enterprise/articles/1507/28/news049.html
アプリを使用しなければOKという話ではなく、メールアドレスが分かれば、脆弱性を悪用して端末を好き勝手に遠隔操作できてしまう可能性があるという非常に危険な脆弱性です。
とはいえ、日本国内でキャリアメール(ロングメール)にMMSを使用しているのは、ソフトバンクとY!モバイルだけのはずですので、それ以外の通信事業者を使用していれば、まったく同じ方法では被害を受けません。しかし、この脆弱性の影響範囲はMMSに限ったことではありませんので、MMSを自動受信しないようにすることだけでは安心とはいえません。
さらに、Androidにおいては、一時的に管理者権限を乗っ取ることも、端末によっては簡単にできてしまいます。一度不正侵入を許せば、削除できない不正プログラムを仕込まれてしまうかもしれません。
Androidの開発元であるGoogleは既にセキュリティアップデートを用意しているとのことですので、私たちは、そのアップデートが配信されるのを待つしかありません。
さて、ここで、一番問題なのは、Android端末のアップデートは基本的にメーカー(や通信事業者)任せになっているということです。つまりメーカー(や通信事業者)がサポートを中止すれば、アップデートは配信されません。そうなると、そのAndroid端末を使い続けることは、サポート期限切れのWindows XPを使い続けているのと変わりません。
しかし、Windows XPはまだマシです。特定用途に限って使用して、ファイルのやりとりを行わず、ネットワークに接続さえしなければ、まだリスクはそれほど大きくないからです。一方、Androidのスマートフォンやタブレットなどは、基本的にはネットワークに常時接続されていることが前提です。WEBブラウジングやメールも使用しないという使い方は特殊でしょう。
あまつさえ、日本においては、24ヶ月のあいだ割賦で縛られるような形で端末を購入する人が多いにもかかわらず、端末のサポート(アップデートの配布など)は早々に打ち切られてしまうことが多いという特有の事情があります。また、仮にサポートが継続していても、セキュリティアップデートが頻繁に(月1などの間隔で)配信されるというのはあまり想像できないというのが実情です。
サポート期間中であればWindowsでさえセキュリティアップデートが月に1回は配信されているというのに、Android端末には滅多に配信されてこないというのは実は怖いことといえます。(まあ、セキュリティモデルが異なるOSを単純に比較するというのもアンフェアですが。)
iPhoneやiPadのiOSはOS開発元とハードウェア開発元が同一であるという強みを活かして、それなりの頻度でアップデートが配信されるという点は評価できるでしょう。筆者自身の手にはどうしても馴染まないので、どうしてもAndroidを選んでしまいますが……w
というわけで、これまでWindows XPの危険性ばかり強調してきましたが、なかなかセキュリティアップデートが配信されないAndroid端末も同様に、あるいはそれ以上に危険だというお話でした。
安全を期すならば、Android端末は頻繁に新機種に買い換えたほうが良いのかもしれませんね。
(関連動画)XPの危険性を訴える自主アニメ