GoogleのAndroidセキュリティ責任者のDavid Kleidermacher氏は、同社の2017年Androidセキュリティレポートのリリースに際し、インタビューで「Androidは競合他社と同じくらい安全になった」と主張した。このレポートは、マルウェアからユーザーを守るためにできる限りのことを行っていることをユーザーに安心させることを目的としている。そして悪用します。問題は、Googleがプラットフォームとして主張する20億台のAndroidを確保できないことだ。
クライダーマッハー氏の主張は、本作のリリースを巡るメディアツアー中に行われた。Android セキュリティ 2017 年の総括、2014年にGoogleの元会長エリック・シュミットが作成したものによく似ています。メディアに自慢した「私たちのシステムは、Apple を含む他の誰よりもはるかに安全で暗号化されています。」
それは当時は真実ではありませんでしたし、今でも間違いのままです。多くの Android は、iOS では長年にわたってデフォルトで有効になっているフルディスク暗号化さえサポートしていません。
もちろん、シュミット氏は、2011 年にサードパーティ開発者が 2012 年には iOS よりも Android を優先し、大多数のテレビが Google TV を実行するだろうと主張するなど、明らかなフィクションであることが判明する大胆な発言を定期的に行っていました。当時、メディアはあたかも事実であるかのように彼の主張を無批判に繰り返した。
Google は、数年間にわたる恥ずべき状況を経て、現在、Android が非常に安全であるという代替現実を広めようとしています。大規模なセキュリティ上の欠陥、広いスケールマルウェアの発生、悪意のあるスパイウェアそして壊れたアーキテクチャ上のエラーAndroid のフルディスク暗号化ハードウェアでサポートできるサブセットの中には、Android ユーザーを本質的に危険にさらす Google の怠慢なセキュリティ委任戦略がすべてを悪化させています。リスクが高い。
Google Play プロテクト
実際、Android のセキュリティ問題の多くは、あらゆるソースからのモバイル ソフトウェアの読み込みにおける Google の「オープン性」の概念に起因しています。これは、App Store のタイトルを厳選し、悪意のあるタイトルや危険なタイトルが流通することさえ防ぐよう努めている Apple との強力な差別化ポイントです。Apple のキュレーションは、有毒な下水が上水道に流入するのを防ぐために取り組んでおり、Google の Android に対するアプローチは、汚泥が損害を与えていることに気付いた後、汚泥をろ過して取り除こうとすることである
Apple のキュレーションは有毒な下水が上水道に流入することを防ぐために取り組んでいますが、Google の Android に対するアプローチは、汚泥が損害を与えていることに気づいた後、自動化された機械学習を使用して汚泥を濾過しようとするというものです。
Google Play プロテクトのこの遡及的なセキュリティ アプローチでは、デバイス上で下水のろ過が必要になります。これは、Google が悪質な Android アプリのフローを効果的に制御していないためです。しかし、すでに電力が不足しており、パフォーマンスやバッテリー寿命の問題に悩まされているデバイスにとって、別のフィルタリング タスクをバックグラウンドで実行することは、より多くの作業を必要とします。
しかし、Google の最新のセキュリティ レポートでは、「新しい PHA (マルウェア リスク) インストールのほぼ 35 パーセントが、デバイスがオフラインであるか、ネットワーク接続が失われたときに発生していることを認識しました。その結果、2017 年 10 月に、Google は Play でのオフライン スキャンを有効にしました」と述べています。保護し、それ以来さらに 1,000 万件の PHA インストールを阻止してきました。」 (PHA は、ウイルス、マルウェア、スパイウェア、ランサムウェアに対する Google の婉曲表現です)。
Google Play プロテクトは、パフォーマンスの悪い Android にさらなる作業を追加します
Googleは、3,900万の不良タイトルを自動的に削除したと述べたので、さらに1,000万がデバイス上でフィルタリングされて除外されたということは、Google Play ProtectがGoogle Playでユーザーに積極的に配信していたものから4,900万の下水道ダウンロードを搾り取ったことを意味します。
同社はまた、「Google Play からのみアプリをダウンロードしたデバイスは、マルウェアに感染する可能性が 9 分の 1 低い」とも述べました。これは、Google ストアの外に手を出したユーザーが、昨年だけで合計 4 億 4,100 万件の不正ダウンロードを経験したことを意味します。 Protect が Google Play から除外したのはそのうちの 11% だけでした。
とらえどころのない Android セキュリティ アップデート
Google のセキュリティ レポートは次にセキュリティ アップデートに移り、「当社はデバイス メーカーと提携して、ユーザーのデバイスで実行されている Android のバージョンが最新かつ安全であることを確認しています。年間を通じて、Google はプロセスの改善に取り組みました」と述べています。セキュリティ アップデートのリリースにより、2016 年よりも 30% 多くのデバイスがセキュリティ パッチを受信しました。」
セキュリティ パッチの改善は素晴らしいことですが、実際にセキュリティ アップデートを受信しているユーザーの数を測定するために Google が有用な数値を提供していないことは注目に値します。先月、セキュリティラボは、モバイル OS プロバイダーと、ソフトウェア パッチの配布にかかる時間と、そのモデルにパッチを配信する期間についてプロファイルを作成しましたが、これは Google の Android ライセンシーのいずれにとっても喜ばしいものではありませんでした。
珍しい Android アップデート
Googleとそのパートナーも、Androidの完全なアップデートをユーザーに提供するという点でうまくいっていない。 iOS 11 のリリースから最初の 4 か月間で、iOS 11 は iOS デバイスの 65 パーセントに導入されましたが、iOS 10 より前のバージョンを使用しているのは Apple のインストール ベースのわずか 7 パーセントでした。Android 側では、Oreo を実行しているのはわずか 1 パーセントで、わずか 1 パーセントでした。 28% は iOS 10 時代の Nougat を実行していました。現在使用されている携帯電話のほぼ 70% が、2 年以上前のバージョンの Android を実行していました。
Google は、古いバージョンの Android OS でもユーザーにプッシュできるソフトウェア パッケージである Google Play Services を使用して、いくつかの機能アップデートを提供することに取り組んできました。ただし、診断テストでは、このソフトウェアが不安定であることが示されており、他のどのコードよりも多くクラッシュしましたAndroid デバイスの場合。 Google Play では対処できないさまざまなセキュリティ問題や機能もあります。
1つは暗号化です。 iOS 8 以降、すべての iOS デバイスはフルディスク暗号化を搭載して出荷されていますが、Google は Marshmallow まではデフォルトで FDE をアクティブにすることさえ要求しませんでした(主に、ほとんどの Android がフルディスク暗号化を備えていたためです)暗号化をサポートするには十分な速度がありません)。さらに、この要件は新しいデバイスのメーカーのみを対象としたものであり、既存のユーザーに対する Over The Air Android アップデートではなく、暗号化はオプションのままでした。
つまり、ほとんどの Android ユーザーは、自分のデータが他のユーザーによって復元されないようにするために、デバイス上のすべてのブロックを手動で消去してスクランブルする必要があります。この安全保障の欠如の影響を受ける人々のほとんどは、おそらくそのことさえ知りません。 iOS では、デバイスがデフォルトで暗号化されているため、ユーザーは盗難された携帯電話をリモートで消去したり、単にデバイスをリセットして携帯電話からデータを回復する機能を安全に削除したりできます。
Google の Android 向けソフトウェア アップデート ポリシーの不備と、想定されるアップデートと現実世界への影響との乖離を示すもう 1 つの実例、それがグラフィックスです。 Google は、Android 5.0 に OpenGL ES 3.1 のサポートを追加しました。現在、理論的には Android ユーザーの 80 パーセント以上が利用できるはずですが、Google の統計によると、実際にサポートしているのは 18.3 パーセントのデバイスだけです。その主な理由は、Google がライセンシーが使用するグラフィックス ハードウェアを制御できないことと同様です。同社は歴史的に、暗号化、生体認証データの保存、その他のセキュリティの重要な側面をほとんど制御できませんでした。
対照的に、Apple は、Samsung のような安価な指紋実装を実験するのではなく、自動的に暗号化されるだけでなく、Touch ID または Face ID によって完全にセキュリティが確保されたインストール ベースを持っています。データを安全に保存されていないまたは「顔認識」セキュリティシアターを備えたもの機能しませんでした。
GoogleはAndroidは安全だと主張できるが、Androidハードウェアを制御することはできない
同時に、これは、Apple がグラフィックス標準を何年も力なく進めて実質的な進歩をほとんど示さなかったのではなく、高度に最適化された独自の Metal API を開発し、それをほぼすべての iOS および Mac ユーザーに急速に普及させることができるということも意味します。 iOS 11 のサポートは Metal のサポートを意味します。
Google は、既存のハードウェアへの新しいアップデートの展開を容易にすることを目的として、Android O の新しいアーキテクチャを開発しました。 「Treble」と呼ばれるこの機能は、断片化されたハードウェアに関連する低レベルのドライバーとその上のコア OS を分離します。このモジュール設計により、より幅広いデバイスにわたって高レベルの Android ソフトウェアを簡単に更新できるようになります。ただし、これには、ハードウェアで Treble を有効にするためのハードウェア メーカーのサポートが必要です。
注目すべきは、Google高音域をサポートしていませんでしたこれは、そのためのメカニズムを構築した後でも、自社製品のサポートを継続する予定がないことを示すヒントでした。 Google がファン向けに作った携帯電話に独自の Treble をわざわざ実装しないとしたら、唯一の本当の違いはおそらく代替品の販売を妨げる可能性があるのに、サードパーティはわざわざこれを実装するでしょうか?
450 万ピクセルは他の 2B アンドロイドがいかに劣悪であるかを示しています
Googleのセキュリティ報告書には、「私たちは長い間そう言ってきたが、これはますます真実である。Androidのオープン性はセキュリティ保護の強化に役立つ」と述べ、Androidが10年近く「オープン」でありながら、大きな被害を受けてきたという事実には気づいていないようだ。 iOS よりも深刻なセキュリティ上の欠陥、アーキテクチャ上の欠陥、マルウェア感染が発生します。
GoogleのPixelは、Androidの残りの部分がセキュリティを含む多くの分野でいかに劣っているかを示している
Googleはまた、重大な脆弱性を探し出して報告するために開発者に数百万ドルを支払ったAndroid Security Rewardsプログラムも宣伝した。そして、「2017年のMobile Pwn2Ownコンテストでは、Google Pixelを侵害するエクスプロイトはなかった」と自慢した。商業的なフットプリントも重要なユーザーベースもありません、そしておそらくセキュリティ上の脆弱性の代償はすでに支払われていると思われます。
これが実際に示しているのは、Android 携帯電話がどのようなものになるかという Google の「純粋な Android」Pixel ビジョン(セキュリティの評判を気にするベンダーによってセキュリティが確保され、定期的にパッチが適用される)が、実際に使用されている他の 20 億台の Android を代表するものではないということです。世界。
Isamu 
Isamu 
Isamu