1 か月ちょっと前、Stagefright の脆弱性は、その重大度と影響を受けるデバイスの数から Android インメモリで最も懸念されるものであり、Google、メーカー、通信事業者に依存する Android アップデートの憂慮すべき状態に疑問を投げかけました。それ自体が問題であり、セキュリティに関しては非常に深刻な問題です。
Android の新しいバージョンではこの脆弱性が解消され、事態は落ち着いたようですが、Stagefright のおかげで、Google、メーカー、通信事業者の側でアップデート ポリシーを変更する本格的な動きが見られました。世界で最も採用されているオペレーティング システムの最新の脆弱性に対する解決策を含む毎月のアップデートが約束されました。
Google は、30 日余り後に、この計画に従った最初のイメージを Nexus デバイス向けに公開しました。これは、Nexus 4、5、6、7、9、10 用の「LMY48M」ビルドと、Android TV Nexus 用の別のビルドです。変更ログのおかげで、ほとんどの修正はメモリ管理を変更し、オーバーフローの可能性への扉を閉じること、つまり、本来持つべきではない権限を持つ悪意のあるコードへの侵入を防ぐことを目的としていることがわかります。
ニュースで最も興味深いのは、他人の時間を「計る」ことです。大規模なアップデート制度がないため、セキュリティ上の変更であっても、これらの変更はメーカーや運営者の責任となります。モデルごとに個別のアップデートも行われます。
Android の大きな問題は、その複雑さと、それを構成するデバイスやオペレーターの範囲の広さです。たとえば、米国では、T-Mobile が Google よりも 1 日前に、Nexus ファミリ全体に対する OTA アップデートをすでに発表しました。 Arstechnica で示されているように、サポート ページでは、Samsung Galaxy S6 と Samsung Note 5 のアップデートが到着したばかりであるため、信じられないほど高速であることが保証されています。 LG G4にも登場します。しかし、各ブランドの象徴ではない残りのオペレーターやデバイスはどうなるでしょうか?
アップデート ポリシーがどの程度変更されるのか、またサイバー犯罪者が毎月発見する脆弱性をどの程度解決できるのかを知るのは興味深いことです。
参考資料一覧
- http://www.androidpolice.com/2015/09/10/aosp-developer-changelog-posted-for-v5-1-1_r3-lmy48b-to-v5-1-1_r14-lmy48m/
- http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
- http://arstechnica.com/gadgets/2015/09/first-ever-monthly-android-security-updates-start-to-roll-out/