web-dev-qa-db-ja.com

Androidアップデートなしのセキュリティ

Androidの電話を使用していますが、他の多くの電話と同様に、すぐにサポートされなくなり、アップデートを受信して​​いません。同時に、権限昇格の脆弱性に対するエクスプロイトが公に利用可能であり、主に電話の正当なルート化に使用されていますが、私が見る限り、攻撃者がこれらのエクスプロイトを使用してAndroid権限システム。これは、デバイスを簡単にルート化するために使用されるアプリケーションによって既に行われています。これらのアプリケーションは特別な権限を必要とせず、システムへの完全なアクセス権を与えるエクスプロイトを実行できます。

市場にある通常のアプリケーションがすべてのAndroid制限を回避してデバイス(アップデートを受信しない)を制御するのを阻止する唯一の方法は、Googleがそのようなアプリケーションをすべてキャッチして禁止できることです。市場から。これは私には現実的ではないようです。もう1つのオプションは、ROM開発者を信頼し、ROMが特定のデバイスと完全に互換性があると想定して、頻繁に更新を受け取るカスタムROMを実行することです。 。

だから、質問は次のとおりです。これは正確ですか、それとも何か不足していますか?そして、カスタムROMを扱いたくない人にとって最良の解決策は何ですか?

mobileandroidphonepatchingupdates
28
android user

はい、これは正確です。お使いのバージョンのAndroid OSに権限昇格の脆弱性が知られている場合)、不正なアプリケーションが権限昇格の脆弱性を悪用してサンドボックスをエスケープすること(つまり、電話への無制限のアクセス権を取得すること)を妨げるものはありません。 。

このセキュリティアップグレードの欠如は、Android=エコシステムの欠点です。エコシステムは、セキュリティアップグレードの提供を継続するために携帯電話メーカーと通信事業者に依存していますが、多くの携帯電話メーカー/通信事業者は、そうすることを拒否しています。経済的理由。電話を使い捨てとして扱い、年配の顧客に常に忠誠心を示すわけではありません。電話が数年になると、アップグレードの提供を中止し、販売されている最新の光沢のあるモデルに集中し、新しい携帯電話の販売を優先します。これはあまり環境にやさしくなく、特に顧客にやさしいわけではありません。残念なことですが、現実のようです。

Michael DeGustaによる この現象の優れた分析 があります。これが彼の分析結果を示すインフォグラフィックです。

chart showing availability of OS updates for various phones

クレジット:The UnderstatementのMichael DeGusta。

更新(12/26/2012):Ars Technicaは ニースの概要 Android更新、1年後。残念ながら、それはかなり良くありません。状況は改善されておらず、多くのAndroid電話は更新を受信して​​いません。セキュリティ上のリスクは残っています。

22
D.W.

いくつかの有効な点...私は個人的にカスタムromのルートをたどります。開発者を信頼する必要があると言っていますが、これは真実です。そして、そのことについては、Google、Apple、Microsoftなど。私は、オープンプロジェクトとクローズドソースのどちらを信頼するのがはるかに簡単だと思います。これらは、すべての技術プラットフォームで行わなければならない選択です。 FWIW、Cyanogenは実際にGoogleで働いているので、彼らは彼を信頼しているようです。 (あなたはCyanogenmodについて聞いたことがあると思います、それは私と他のほとんどの人が選択したROMに使用するものです)

キャリアがルート化/カスタムせずにそれらをプッシュしない場合は、OSレベルで更新を取得するためのオプションは多くありません。

市場にあるアプリについては、コンピューター用のアプリを見つけてインストールするのと同じように、常識を守りたいだけです。アプリの評価、フィードバック、ダウンロード数を確認してください。これらは通常、良い指標です。

5
Zeb

もちろん、それはすべてリスクとメリットのトレードオフです-Appleの代替モデルにも欠陥があります。確かに、さまざまな欠陥がありますが、何かを信頼する必要があります。

心配な場合は、自分でコードをチェックするか、独立したコードレビュー担当者に依頼してください。 Appleには非常に注意が必要です。シアンのようなもので非常に簡単です。

私にとって、Androidは、スマートフォンで必要な機能を提供する唯一のOSです。そのため、すべてのインストールを確認し、ウイルス対策を実行し、一般的には適切な慣行に従ってリスクを制限します。

Android現在-2016年-より多くのキャリアがアップデートを提供していますが、さらに重要なことに、ルート化したり、カスタムROMを使用したりすることなく、キャリアに依存しない電話を購入する方が簡単です。これらの電話はさらに入手する傾向があります。頻繁な更新。これまでのところ、更新期間が長くなっているようです。

0
Rory Alsop