ここしばらく、Android OS プラットフォームのセキュリティ上の懸念が多くのユーザーを悩ませてきました。 Google は、Kit Kat と Lollipop の OS バージョンを通じて、感染を軽減するための修正を迅速に提供したと言わざるを得ません。 しかし、マルウェアや不正ウイルスの開発者は常に多忙を極めており、常に時代の先を行っているようです。つまり、Google はこれまで以上にセキュリティ修正に積極的に取り組む必要があることを意味しています。
Google は定期的なアップデートを通じて強化に努めてきました。 Kit Kat 4.4 と Lollipop OS には暗号化などの追加のセキュリティ機能が導入されており、最新の Marshmallow OS アップデートもユーザーのセキュリティの向上を約束します。
アップデートが常に時間通りにダウンロードされるわけではありません
ただし、これらのアップデートはすべて、随時リリースされますが、アップデートをダウンロードするほど警戒している人やアクティブな人が多くないため、ユーザーの携帯電話には届きません。 Nexus 携帯電話の一部のユーザーは幸運にも毎月アップデートを受け取ることができ、他の主要な OEM も定期的にアップデートを展開していますが、他の多くのユーザーはかなり遅いです。 これにより、ユーザーはそのようなアップデートを見逃すことになり、マルウェア攻撃に対して脆弱になります。
Android OS では欠陥が次々と発生するため、セキュリティ アップデートの重要性はいくら強調してもしすぎることはありません。 これらは、ハッカーによって個人データを盗むために簡単に悪用される可能性があります。 また、ユーザーは、デバイスの完全なセキュリティを確保するには、常に警戒し、時間通りにアップデートをダウンロードする必要があることに憤慨しています。
懸念と脆弱性を引き起こす重大な欠陥
最も懸念されるものは CVE-2015-6636 として識別され、重大評価が与えられたもので、ハッカーが遠隔地からデバイス上でコードを実行することを可能にします。 電子メール、MMS、Web ブラウジングなどの手段を通じて、これらのコードを実行し、目的のマルウェアをインストールすることができます。 その後、マルウェアはユーザーの会話だけでなくファイルも制御していきます。 Google は、この脅威に適切に対処したことを確認しました。
このような問題に効果的に対処するには、定期的なパッチ適用とユーザーによる時間通りのダウンロードという概念が引き続き鍵となります。 さらに、リリースされるパッチは完全に動作する必要があり、ミスは許されません。 Stagefright の脆弱性に対して Google がリリースしたパッチは否定的な注目を集め、多くのユーザーが正しく機能しないと述べたため、Google は修正版を送信する必要があったとのことです。
Googleは、セキュリティアップデートについてユーザーに適時に最新情報を提供すると発表
Googleはセキュリティ上の欠陥を深刻に受け止めており、この問題をパートナーと協力して取り上げたと発表した。 今後のアップデートとソース コード パッチに関するニュースは、AOSP または Android オープン ソース プロジェクトにリリースされた瞬間にユーザーに知らされます。
ユーザーは、セキュリティ更新プログラムに関する通知が来た時点で、必ずその更新プログラムをダウンロードする必要があります。 また、使用しているデバイスのメーカーによっても大きく異なるため、場合によっては失効が発生することがあります。 Google がパートナー メーカーに、セキュリティ パッチに熱心に取り組み、予定どおりにユーザーに提供するよう印象づけることができれば、マルウェアがデバイスに侵入する可能性は大幅に減少するでしょう。
Nexus のセキュリティ修正の最新バッチ、重要な開発
この観点から、Nexus スマート デバイス用の修正の新しいバッチのリリースが重要になります。 これらの修正は、攻撃者が不正な電子メール、MMS メッセージ、さらには Web ページを通じてデバイスを標的にすることを可能にする欠陥に対処することを目的としています。
Nexus の修正はファームウェア アップデート OTA を通じて公開されており、これらはすぐに AOSP または Android オープンソース プロジェクトにも追加されます。 Android Marshmallow にもこれらの修正が含まれます。
アップデートにより、重大とみなされる 5 つの主要な脆弱性が対処されます
これらのアップデートは、重大とみなされた上位 5 つの脆弱性に加えて、高と評価された他の 12 件と中程度と評価された 2 件の脆弱性に対処するために展開されました。 オーディオビデオの再生とファイルのメタデータ解析に関連する、OS のメディア処理ユニット内に存在する多くの欠陥が見つかりました。
このような重大な脆弱性の XNUMX つはメディア サーバーに関係しており、メディア サーバーは OS の中核であり、ハッカーが悪用して任意のコードを実行する危険にさらされる可能性があります。 これらのコードには、通常はサードパーティのアプリが持たない偽装された権限が含まれる可能性があります。 したがって、攻撃者はこれらの欠陥を利用してユーザーを騙し、通常は再生できないメディア ファイルを再生する可能性があります。
ここで言及しておく価値があるのは、Google ハングアウトやメッセンジャー内で自動的に行われていたマルチメディア メッセージの解析も Google が廃止したことです。
Web ブラウジング、電子メール、MMS を通じてコードの実行につながる可能性のある 3 つの脆弱性も、Skia グラフィックスで修正されました。 このリリースでパッチが適用された最後のものは、Android カーネル内の権限の昇格に関連する欠陥に対処しています。 これはデバイスのルート化を可能にしますが、ユーザーが管理方法を知らず、攻撃者の手に渡った場合、OS に大混乱をもたらす可能性があります。
Googleはユーザーに迅速なアップデートを推奨
特権に関連する他のエスカレーションの欠陥も修正されています。 ただし、Google はユーザーに対し、マルウェアがデバイスに侵入する可能性を減らすために、直ちにまたはできるだけ早く最新の OS にアップデートすることを推奨しています。 最新の OS バージョンはより堅牢であり、マルウェア攻撃を防ぐことができます。 Google には、有害なアプリケーションをブロックするための Verify Apps と SafetyNet もあります。
