« Erasure coding | トップページ | Windows 7でWiresharkを使う設定 »

2011年1月14日

iPhoneとAndroidのどちらがセキュアか

Trend Microの会長Steve Changが、AndroidはiOSよりセキュリティが弱いと発言したそうだ。私もそう思うが、理由は違う。

AndroidはiOSより脆弱--トレンドマイクロ会長が発言
http://japan.cnet.com/news/business/20424955

Android more at risk than iOS, says Trend Micro
http://news.cnet.com/8301-13506_3-20028262-17.html

この記事に、「2010年7月には複数のセキュリティ専門家が、AndroidとiOSはいずれも『同程度の』セキュリティを確保しているが、これを実現する方法が異なっているとの見解を明らかにした」と書いてある。翻訳版では原典が分からないが、記事原文にはリンクが張ってある。

Experts: Android, iPhone security different but matched
http://news.cnet.com/8301-27080_3-20009362-245.html

Chang氏やセキュリティ専門家たちが焦点を当てているのは、あとからインストールするアプリケーションが携帯電話内のデータに不正にアクセスできるかどうかという点である。Androidは、アプリケーションがどのデータにアクセスできるか、どんなことができるかについて、インストール時にユーザの承認を求める。iPhoneの場合、アプリケーションはすべて同じ範囲のデータにアクセスできる(位置情報だけはユーザの承認が必要)。AndroidのアプリケーションはGoogleによる事前承認がないので、悪意のあるソフトウェアが流通してしまう可能性が高い。Appleの事前審査はそういったソフトウェアを排除するのに役立つが、いったん承認されたソフトウェアが、悪意のあるコードをダウンロードする可能性もある。どちらのプラットフォームにも長所と弱点があり、ほぼ互角という結論である。

しかしこれらの記事は、OSのセキュリティ脆弱性が見つかったあと、どのようにしてそれを修正するかという点について触れていない。ソフトウェアには必ず脆弱性がある。そしてそれを迅速に修正するという点に関して、現時点ではiPhoneに軍配が上がる。

iOSは、Appleが修正版を出せば、すぐにエンドユーザが入手してiPhoneをアップデートできる。バージョン番号の3桁目の小規模リリースで脆弱性を修正した実績もある(注1)。いっぽうAndroidは、Googleが修正版をリリースしたあと、携帯電話メーカやキャリアのテストを経てエンドユーザに届けられる。他のAndroid携帯との差別化のためにUIやアプリケーションを作り込んでいると、アップデート版のリリースに時間がかかることが考えられる。ドコモのXperiaはAndroid 1.6で発売され、アップデートできるようになるまでには、約半年かかった。しかも、アップデート先は最新の2.2ではなく2.1である。任意のコードが実行できるというWebKitの脆弱性は修正されていない(注1)。auのIS01はアップデートすらしない(注2)。Androidのアップデートが比較的大規模のものなのも、メーカやキャリアの対応が遅れる原因ではないだろうか(これは今後変わるかもしれない)。

iOSもAndroidもサンドボックス化によって、悪意のあるコードから他のプロセスやデータを守っている。しかしiOSのPDF脆弱性が示したように、ソフトウェアのバグによってこの防御機構が破られ、root権限を奪われることがある。root権限を奪われたら為す術がない。そしてAndroidに似たようなバグがあっても不思議ではない。完璧なソフトウェアは存在しないからである。CoverityがAndroidのソースコードを解析したところ、88個のハイリスクなものを含めて、セキュリティ脆弱性に繋がりかねない潜在的な問題が359個見つかったそうだ(注4)。ソースコードが公開されていないiOSで同じ分析を第三者がおこなうことはできないが、Appleとて人の子。状況はさほど変わらないだろう。

アプリケーションがアクセスできるデータについてユーザの確認を求めるAndroidの画面も、実際には防御にならない。セキュリティに関心が高いユーザ以外は、何のためらいもなく承認してしまうだろう。PCのブラウザを使っているときに、送信する情報が暗号化されていないという警告や、サイトのSSL証明書が不正だという警告が出たとしても、平均的なユーザは特に気にも留めずOKボタンをクリックしているはずだ。そのサイトを使いたい、そのアプリケーションを使いたいという欲求の前には、ソフトウェア開発者が表示する警告画面は無力である。せいぜい何か問題が起きたときに、「我々は警告したはずだ」と言い訳できるくらいだ。

以上のように考えると、少なくとも現状ではiPhoneの方がより安心して使える。もちろん常に最新版のiOSにアップデートすることが前提である。そしてAndroid陣営のGoogleや携帯電話メーカ/キャリアが脆弱性の修正についてどのように対応していくか、目を離せない。

そして携帯電話のセキュリティで最も大事なのは、置き忘れたときにデータを盗まれないようパスワードでロックしておくことと、紛失したり壊したりしてもデータを失わないようにバックアップを取っておくことだ。

(注1)
アップル、iOSのPDFセキュリティ脆弱性に対するパッチをリリース
http://japan.cnet.com/apple/20418312/

iPhone jailbreak could double as security hole
http://news.cnet.com/8301-31021_3-20012511-260.html

(注2)
「Android」端末ブラウザに「WebKit」の脆弱性--「Android 2.2」は対応済み
http://japan.zdnet.com/news/sec/story/0,2000056194,20422578,00.htm

(注3)
au IS01はOSアップデートなし、Android 1.6で終了
http://japanese.engadget.com/2010/11/16/au-is01-android-1-6/

(注4)
Study: 359 Android code flaws pose security risks
http://news.cnet.com/8301-30685_3-20021437-264.html

|

« Erasure coding | トップページ | Windows 7でWiresharkを使う設定 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« Erasure coding | トップページ | Windows 7でWiresharkを使う設定 »