「一部の端末で」ではなく「一部の端末を調べた結果その全てで」と書くべきだ。この問題は、Android がアプリケーション間のやり取りを解放していることに起因する問題で根は深い。解決するためには OS レベルでの対応が必要だ。また、現在他のアプリを呼び出しているようなアプリ全てが影響を受ける可能性がある(ローカルで動くだけのゲームは関係ない)。
しかし、この記事でセキュリティシステムの要とされているパーミッションモデルだが、どれだけ機能しているか疑問だ。自分でも、何かインストールするときにパーミッションを詳細に検討したりはしない。それに、一見ローカルで動くようにしか思えないようなアプリでも通信やインターネットの完全なアクセスを要求するものは多い。メモのようなアプリでも Dropbox にアクセスするようなものは該当するし、結果を共有するようなゲームもそうだ。このような中で、「これは怪しい」と思うことは不可能に近いだろう。
セキュリティ対策を回避することが可能であるということが分かったが、回避可能なセキュリティ対策がザルで、実際には影響はないと言えそうなところが Android の恐ろしいところだ。まあ、Android 端末を使うということはプライバシーも何も全て google に筒抜けになっているのではあるがwww
同時に、記事にもあるが、Android のアップデートが全てに行き渡らないという問題がある。もし、google が OS をアップデートするにしても、販売終了している端末に向けて各メーカーがアップデータを出すことは期待できそうにない。何度も書くが、自分の ideos u8150 は 2.3 へのアップデートすら行われない。日本メーカーの端末も多くが 2.2 で止まっている(しかも、2年縛りで支払中の人も多い)。発売後半年くらいしかたっていない XOOM ですら3.2へのアップデートはされないし 4 へのアップデートについても au からは何の発表もされていない。こんなやる気のない au のような販売業者が間に入ったらユーザーは、モヒカン刈りのヒャッハーがうようよいる荒野に放置されたようなものだ。しかも、ケンシロウのいない荒野だ。
一部の Anroid 端末でアプリ権限を迂回できる問題、端末データの削除など — Engadget Japanese.
スマートフォンまわりのセキュリティ問題がなにかと話題のなか、また Android に暗いニュースです。ノースカロライナ州立大学の研究者らが、一部の Android 端末において、アプリが本来持たないはずのパーミッション(権限)を実行できる脆弱性を発見しました。ご存知のとおり、Android ではアプリごとに「SDカードの読み書き」とか「位置情報の取得」とかいった権限が設定されており、ユーザーはインストール時にどれだけの権限を必要とするアプリなのか、あらかじめ確認できるようになっています。パーミッションモデルは Android のセキュリティシステムの要とも言え、ほとんど無法地帯の Android マーケットにおいても「知らないアプリをインストールしたら無茶苦茶なことになった」という話をあまり聞かないのは、このパーミッションモデルのおかげでしょう。ちかごろ、奇妙なくらいたくさんの権限を求めるアプリが問題視されるようになったのも、ある意味ではこのパーミッション情報がちゃんと公開されているからです。
しかし研究者らが4社・8種の Android スマートフォン、具体的には HTC(Legend / EVO 4G / Wildfire S)、モトローラ(Droid / Droid X)、サムスン(Epic 4G)、Google(Nexus One / Nexus S)を実際に調べたところ、すべての端末において、パーミッションを持たないアプリであっても、一部の権限を利用できたとのこと。どの権限が利用できたかは端末によりますが、たとえばHTC端末3種では音声の記録(通話データの記録も可)や SMS 送信、Epic 4G では端末データのクリアといった、ちょっと見過すことはできないようなことが実行できてしまっています。
分析の中で研究者らが利用したのは、プリインストール済のアプリを利用する方法。権限を持たない(悪意のある)アプリが、権限を持つプリインストール済のアプリの機能を活用することで、本来はできないことをやってしまうというのが、手法の概略です。端末によって利用できてしまう権限に差があるのはそのため。本家 Google の Nexus シリーズまでアプリ削除の権限について問題を抱えてしまっています。
この手法を悪用すれば、端末によっては、パーミッションはなにも求めていなかったのに、通話を記録したり、SMSを送信したり、端末データを消してしまうアプリができてしまうということになります。今回調査されたのは8端末だけですが、そのすべてでなんらかの問題が見つかったことから、研究者らは市場にある多くの Android 端末が同じ問題を抱えているのではないかと推察しています。すでに Google とモトローラは問題を確認済。もとより Android には端末アップデートがなかなか継続して提供されない「分断」問題がありましたが、このようなセキュリティ問題が絡んでくると、アップデートの来ない状況はますます深刻になります。