web-dev-qa-db-ja.com

私のAndroid電話は脆弱ですが、アップデートはありませんか?

私は、新しいHTC Desire 526Gをオペレーティングシステム4.4.2(KitKat)で購入しました。すべてが(ルート化されていない)必要があるため、出荷時の設定のままです。

しかし、私は長い間セキュリティ更新を取得していませんでした。手動でチェックインしましたsystem updatesそしてそれは言う:There are no updates available for your phone.

私のAndroidバージョンを確認すると、4.4.2&Androidセキュリティパッチレベル:2016-01-01ですが、CVEの詳細に進むと、このシステムに多くの vulnerabilities が見つかりました。

また、Duo Securityから X-Ray をインストールして、システムがエクスプロイトに対して脆弱であるかどうかを確認しました。これにより、デバイスが異なるデバイスに対して脆弱であるという肯定的な結果が得られました。

私の状況ではどうすればよいですか、Androidデバイスを更新して、既知の脆弱性からデバイスを保護する方法を教えてください。

androidknown-vulnerabilitiesupdates
57
user134969

脆弱であることがわかっているがアップデートが利用できないソフトウェアを使用している場合、どうするかを本質的に尋ねています。これはAndroidの電話に限定されない問題ですが、ルーターやカメラなどのIoTデバイスだけでなく、限られた時間しかサポートされないPCのソフトウェアにもあります。 。

答えは明白です。ソフトウェア(またはデバイス)を既知の脆弱性のないもの(および更新を取得)に置き換えるか、攻撃対象を減らすことで感染のリスクを減らします。

Android電話の場合、最善のオプションは、LineageOSのような代替のまだサポートされているソフトウェアを入手することです。代替デバイスがデバイスをサポートしていない場合、新しい電話を入手する必要があるかもしれません。まだサポートされているソフトウェアであり、今回はうまくいけばより良いサポートで知られているベンダーからのものです。

これがいずれも可能でない場合、またはコストが想定されるリスクと一致しない場合は、攻撃対象領域を減らして、デバイスに対するエクスプロイトのリスクを減らすことができます。これは、ネットワーク接続がなく(モバイル、WiFi、Bluetoothのいずれでもない)、本当に必要のないすべてのアプリを削除することで実行できます。スマートフォンにrootがいる場合は、ファイアウォールをインストールして、ネットワークトラフィックを選択したいくつかのアプリのみに制限することもできます。

サポートされているソフトウェアを使用しても、完全なセキュリティはありません。保護のためにどれだけの労力と費用を投資するかは、何を保護する必要があるかに大きく依存します。デバイス上に機密データがない場合は、モバイルネットワークで、そしておそらく制限されたWiFiネットワークで使用することにより、限られたリスクを受け入れる可能性があります(ホームネットワークの他のシステムを悪用するために使用できないようにするため)。その代わりに、デバイスに機密データがある場合は、おそらくさらに投資を行い、サポートされているデバイスを高速なアップデートでベンダーから入手する必要があります。

60
Steffen Ullrich

これは、ほぼすべてのAndroid電話ベンダーに共通する問題です。

新しいモデルの売り上げを伸ばすために彼らがそうしているのではないかと疑っています(疑いだけですが、私は恐れています)。ベンダーに問い合わせてみたところ、「お待ちください。アップデートは進んでいます」(そうではありませんでした)から「古いモデルのアップデートはリリースされなくなりました」(これがそうであれば場合、ほとんどの場合、ベンダーは単に応答しません)。

あなたのオプション:

  • 自分の曲に合わせて踊る、新しい電話を購入する(毎年これを繰り返す)
  • お使いの携帯電話がそれをサポートしている場合は、カスタムOSを(CyanogenModまたは同様のもの)に配置します(ただし、古いOSの携帯電話でカスタムOSが更新される期間はどれくらいですか?)

私たち(消費者)はこのゲームの勝者とは言えません。

19
Sas3

今はもう遅いです(私は想像します)が、Androidのファンとして、定期的なセキュリティアップデートを提供していることがわかっている製造元からの電話のみを購入することを確認しています。過去には、デバイスの全期間にわたって実質的にゼロのセキュリティ更新を受け取った電話で、私はそれについて再び心配する必要がありませんでした。

Androidは携帯電話メーカーが使用するオープンソースシステムであり、タイムリーに携帯電話を更新することを強制するものは絶対にありません。多くのメーカーが在庫に加えて独自の変更Androidシステム、つまり、更新はGoogleからの更新を渡すだけの簡単なことではありません。代わりに、変更を=に組み込む必要があります。 Androidシステムを独自のビルドに変換し、すべてが機能することを確認してから、新しいバンドルをデプロイします。非常に時間がかかり、費用のかかるプロセスになる可能性があります(製造元が事前に計画している場合を除く)。事実、ほとんどの人は気にしていないので、定期的な更新とより良いセキュリティのための消費者からの明確なプッシュがあるまで、それは起こりません。明確に、消費者主導の需要のそのレベル起こることは決してないだろう。

実際に更新を取得するデバイスの(かなり)最近のリストを次に示します。

https://www.bleepingcomputer.com/news/security/google-publishes-list-of-42-phones-running-latest-Android-security-updates/

また、ここでは、情勢がどのように見えるか、そしてgoogleでさえそれについてあまり満足していないという事実を説明する記事があります。

https://arstechnica.com/gadgets/2016/05/google-hopes-to-shame-slow-Android-oems-with-update-rankings/

次回新しいスマートフォンを入手するときは、この点に注意してください。それまでの間、ここでの他の回答には、現時点で役立つヒントがいくつかあります。

8
Conor Mancone