脆弱性修正状況からみるAndroidの安全性調査

次々と脆弱性の見つかるAndroidだが、Googleが脆弱性を修正したにもかかわらず、端末メーカーやキャリアの都合で放置される端末も多い。英国・ケンブリッジ大学の研究チームでは、脆弱性の修正状況などからメーカーや機種、キャリア別にAndroidの安全性を調査している(論文: PDF、Softpediaの記事)。

調査対象はAndroidアプリ「Device Analyzer」が収集した20,400台分のデータで、独自に定義したFUMスコアにより評価している。FUMスコアは調査期間中に重大な脆弱性が報告されなかった端末の割合(F: free)、最新バージョンのAndroidがインストールされた端末の割合(U: update)、重大な未修正脆弱性の1日あたり平均(M: mean)から算出されるもので、10点満点となっている。

調査したAndroid端末全体でのFUMスコアは2.87点だが、Nexusに限定すると5.17点となり、Nexus以外は2.70点。メーカー別にみるとFUMスコアが最も高いのはLGの3.97点で、Motorola(3.07)、Samsung(2.75)、Sony(2.63)、HTC(2.63)、Asus(2.35)が続く。モデル別では3位までがすべてNexusで、Galaxy Nexus(4.71)、Nexus 4(3.69)、Nexus 7(3.25)の順。キャリア別ではO2 UK(3.87)、T-Mobile(3.81)、Orange(3.65)、Sprint(3.42)、3(3.39)、Vodafone UK(3.17)、AT&T(3.13)の順。

リストアップされたキャリアからみると調査対象は欧米のユーザーに偏っているようだが、バングラデシュやインドのキャリアも含まれる。また、急速にシェアを伸ばしている中国ブランドが含まれない一方で、バングラデシュのローカルブランドの名前がみられる。

論文ではAndroidのセキュリティーに関するボトルネックはメーカーであるとし、端末が安全かどうか、アップデートが提供されるかどうかをメーカーだけが知っており、ユーザーは知らないというレモン市場のようになっていると述べている。より広範囲のデータが集まれば、この状況も改善していくだろう。　スラドのコメントを読む | セキュリティセクション | 英国 | セキュリティ | 統計 | バグ | Android

　関連ストーリー：
AndroidのStageFright機能に新たな脆弱性 2015年10月03日
Android 5.xでパスワードを設定したロック画面をバイパス可能な脆弱性 2015年09月19日
Android Lollipop、シェアが20%を超える 2015年09月13日
Androidの脆弱性「Certifi-gate」を悪用するアプリがPlayストアで公開されていた 2015年08月29日
携帯電話の脆弱性にもリコール制度が必要？ 2015年08月23日
AndroidのMediaServerで任意のコード実行が可能となる新たな脆弱性 2015年08月21日
Androidで新たな脆弱性が多数発見される 2015年08月13日
Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響 2015年08月01日
Androidでビデオメッセージを受信するだけでデバイスが乗っ取られる脆弱性が確認される 2015年07月28日
2015年第2四半期、携帯電話出荷台数の72.6%をスマートフォンが占める 2015年07月26日
GoogleはAndroidの更新に関する問題をいつまで放置し続けるのか 2015年05月10日
Google、Android 4.3のWebViewに対する脆弱性修正を行わなかった理由について説明 2015年01月28日
Google、古いAndroidのサポート終了か　9億台で脆弱性放置の恐れ 2015年01月14日
Androidに未許可のアプリでも発話や通話中断ができてしまうという脆弱性が発見される 2014年07月08日
Appleのティム・クックCEOによるAndroid批判「多くのユーザーは誤ってAndroid端末を購入していた」 2014年06月04日