AndroidはモバイルOSの頂点に急速に上り詰めましたが、その成功の大きな要因はiOSなどのライバルよりもオープンなプラットフォームであることにあります。しかし、そのオープン性は諸刃の剣であり、シマンテックが発見したAndroidクラスローディングハイジャックの脅威のように、Androidを潜在的なリスクにさらす可能性も秘めています。
シマンテックの広報担当者は、Androidのクラスローディングハイジャックの脅威はWindowsのDLLハイジャック攻撃に似ていると説明しています。「この脅威は、Androidがアプリが実行コードを動的にロードできるAPIを提供しているという事実を悪用しています。例えば、アプリケーションはダウンロードされ、後でロードされるプラグインをサポートしている場合があります。残念ながら、これらのプラグインが安全でない場所に保存されている場合、このプロセスがハイジャックされる可能性があります。」
シマンテックは、Android クラスローディングハイジャックの脅威は Android OS 自体の脆弱性ではなく、一部のアプリのコーディング方法に欠陥があり、それが悪用されて権限をハイジャックされる可能性があることを強調しています。
nCircleのセキュリティ開発担当ディレクター、オリバー・ラバリー氏は次のように説明しています。「この脆弱性、そしてまだ発見されていない同様の脆弱性は、Androidのオープン性に伴う残念な副作用です。オープンプラットフォームは確かに優れていますが、ブラウザの脆弱性の歴史は、インターネットから流入するコンテンツに対して効果的な『サンドボックス』を構築することがいかに重要であるかを幾度となく示してきました。」
ラバリー氏は、Androidのセキュリティは、デスクトップやノートパソコンといった完全にオープンなコンピューティングデバイスのセキュリティと比べて、著しく優れているわけでも劣っているわけでもないと述べています。「iOSが採用している『ウォールドガーデン』アプローチは、ほぼ間違いなくより安全ですが、その相対的なセキュリティ強化は、オープン性と拡張性を犠牲にしているのです。」
ESETの技術教育ディレクター、ランディ・エイブラムス氏は、シマンテックの調査は興味深いものだが、サイバー犯罪者は実際にはそれほど努力する必要はないと述べています。エイブラムス氏は、Androidアプリに日常的に付与される権限が豊富なため、Gmailの確認コードを含むテキストメッセージを盗むような攻撃は、ユーザーにテキストメッセージにアクセスできるアプリをインストールさせるのと同じくらい簡単に実行できると警告しています。
「ユーザーは、何の疑問もなく、日常的にアプリケーションにそのような権限を与えています」とエイブラムス氏は嘆く。「シマンテックが提唱するような現実的だが難解なアプローチに投資するよりも、設計上の理由からアプリケーション間の汚染が起こりやすい状況の方がはるかに大きいのです。」
機能性や柔軟性とセキュリティの間には常にトレードオフが存在します。Androidはセキュリティよりも機能性を重視しているため、アプリ開発者はより一層の注意を払い、ユーザーはセキュリティの脅威から身を守るためにより一層の警戒を払う必要があります。
