セキュリティソフトウェアベンダーのシマンテックによる23ページのレポートによると、AppleのiOSとGoogleのAndroidスマートフォンプラットフォームは、従来のデスクトップベースのオペレーティングシステムよりも安全だが、依然として多くの既存の攻撃カテゴリに対して脆弱である。
幸いなことに、AppleとGoogleはそれぞれのOSをセキュリティを考慮して設計しました。しかし、絶えず変化する脅威の状況に対応するのは困難です。シマンテックはレポート「モバイルデバイスのセキュリティへの窓」の中で、Webベースおよびネットワークベースの攻撃、ソーシャルエンジニアリング攻撃、デバイスデータの整合性に対する攻撃、そしてマルウェアに対する両OSの耐性を評価しました。
AndroidとiOSの両方のスマートフォンやタブレットのユーザーは、デバイスをクラウドサービスや自宅のデスクトップコンピュータと定期的に同期しています。シマンテックによると、これにより企業の機密データが企業の管理外のシステムに漏洩する可能性があるとのことです。
シマンテックによると、従来のマルウェア対策に関しては、Appleのアプリケーションと開発者の認証がユーザーを保護しているという。一方、Googleの認証方式がそれほど厳格ではないことが、Android特有のマルウェアの増加につながっていると同社は述べている。今月初め、GoogleはAndroid Marketで提供されていたマルウェアに感染したアプリをさらに削除せざるを得なくなった。
Androidのよりオープンなアプローチ
CCSインサイトのリサーチディレクター、ベン・ウッド氏によると、Googleのよりオープンなアプローチは同社の成功の理由の一つとなっている。このアプローチは、Googleが利用可能なアプリケーションの数を急速に増やすのに役立った。今のところ、問題となっているアプリはユーザーに大きな影響を与えていないが、より深刻な攻撃を受けた場合、ユーザーの感情は急速に変化する可能性があるとウッド氏は述べた。
セキュリティ専門家が過去に指摘してきたように、Androidがユーザーによる権限付与に依存していることは弱点です。大多数のユーザーは、こうしたセキュリティ上の判断を下すための技術的知識を備えていません。一方、シマンテックによると、AppleのiOSプラットフォームは、いかなる状況下でも、デバイスの機密性の高いサブシステムの多くへのアクセスを単純に拒否します。Androidでは、悪意のあるアプリは動作に必要な権限を要求するだけで、ほとんどの場合、ユーザーは喜んでこれらの権限を付与します。
プラス面としては、Google では、公式の Android アプリ マーケットプレイスを通じてアプリを配布するために、開発者が料金を支払って同社に登録することを義務付けている、とシマンテックは述べた。
シマンテックによると、iOSの潜在的な脆弱性には暗号化が含まれる。データの大部分は、ユーザーがデバイスのマスターパスコードを入力することなく復号できる方法で暗号化されている。つまり、iOSデバイスに物理的にアクセスできる攻撃者は、パスコードを知らなくてもデバイスのデータの大部分を読み取ることができる可能性があるとシマンテックは述べている。2月には、ドイツの研究者がiOS 4.2.1を搭載したiPhoneで6分でこれを実行できることを実証したとシマンテックは警告している。
また、iOS Web ブラウザなどの特定のアプリケーションに対する攻撃は、自己完結型であり他のアプリへの影響はブロックされていますが、それでもデバイスに重大な損害を与える可能性があります。
Androidは最近、Android 3.0で暗号化機能を内蔵するようになりました。しかし、市販されているほぼすべての携帯電話で動作している以前のバージョンのAndroidには、暗号化機能は搭載されていません。
iOSの脆弱性はそれほど深刻ではない
これまでに、セキュリティ研究者はiOSの様々なバージョンに約200件の脆弱性を発見しています。しかし、これらの脆弱性の大部分は深刻度が低いものでした。Androidの18件の脆弱性のうち、4件を除くすべてがGoogleによって修正されています。そのうち1件はバージョン2.3で修正されましたが、それ以前のバージョンのOSでは修正されていません。例えば、シマンテックによると、最近のAndroid.Rootcager(別名Android.DroidDream)とAndroid.Bgservの脅威はどちらもこの脆弱性を悪用して管理者レベルの制御権を取得していました。
シマンテックは、ジェイルブレイクされたスマートフォンのユーザーにも警告を発している。同社によると、ジェイルブレイクされたスマートフォンは従来のPCと同様に脆弱であるため、攻撃者にとって魅力的な標的となっているという。
シマンテックは、iOSはアクセス制御、アプリケーションの出所、暗号化において優れていると結論付けました。シマンテックによると、GoogleのAndroidはアプリケーションの分離性に優れており、パーミッションベースのアクセス制御では互角です。Appleはマルウェア攻撃、サービス攻撃、データ損失、データ整合性攻撃に対する保護も優れています。両社ともWeb攻撃に対しては完全な保護を提供していますが、フィッシングやスパムなどのソーシャルエンジニアリング攻撃に対処するための保護技術は備えていません。
ウッド氏によると、スマートフォンのセキュリティは、ベンダーが対処しなければならない大きな課題となっている。大規模な攻撃は、スマートフォンの普及に悪影響を及ぼす可能性があると彼は述べた。
