2019年に報告された脆弱性が最も多い製品はAndroid 93
ストーリー by headless
製品 部門より
製品 部門より
VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート、 9to5Googleの記事)。
データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。
一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。
なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。
一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。
なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
Android 10なら安心 (スコア:3, 参考になる)
昔のAndroidはメーカーがパッチを出すまで3~6ヵ月かかったり、毎月パッチ出さずに3か月に1回ぐらいしかパッチが出なかったり、販売終了から1年ぐらいでパッチを全く出さなくなったりしたので、使い物にならず、セキュリティ意識が高い人はiPhone一択でした。
しかし、Android 10では従来のバージョンのAndroidと違ってメーカーの対応を待たずにGoogle側が月例パッチを出せるようになりました。
つまりはメーカー問わずに月例パッチを毎月適用できるようになったわけです。
脆弱性が多いとはいっても、1か月で修正されるので、Windowsと同程度には安全ではないでしょうか。
Re:Android 10なら安心 (スコア:4, 参考になる)
しかし、Android 10では従来のバージョンのAndroidと違ってメーカーの対応を待たずにGoogle側が月例パッチを出せるようになりました。
ただしハードごと固有のドライバ周りを除く
をつけないと
つまりドライバ周りの脆弱性はあいも変わらず
3~6ヵ月かかったり、
毎月パッチ出さずに3か月に1回ぐらいしかパッチが出なかったり、
販売終了から1年ぐらいでパッチを全く出さなくなったり
Qualcommとかがクローズドソースもののアップデートを出さなければ
たとえ海外版でBootloader Unlockして自前で焼ける環境であったとしても更新不能
Android 10でも本質的には解消しないんじゃいかな
# 割り切って遊び道具にする分には引き続き楽しめるとは思う
Re:Android 10なら安心 (スコア:1)
メーカー提供のドライバーから改造しているのなら、という条件をつけないと。
AndroidのデバドラはLinux kernel用ドライバーとほぼ同義で、ディスプレイドライバーが違う他はデーモン類が専用で、独自機能の実装やチューニングによってそれらを改造する必要が生じているのか次第。
Re:Android 10なら安心 (スコア:1)
さすがにそうは読み取れませんが。
Re:Android 10なら安心 (スコア:1)
ほう!
…やっぱりMac iPhone iPadしか選択肢は無いのか…
# 特にWindowsは半年ごとにUIが様変わりして俺には無理orz
Re: (スコア:0)
もう5年近くWindowsはUIに大きな変化が無くて退屈
Re: (スコア:0)
このまま永久に同じままでいいわ
デザイナーの表現力はバグを生むだけ
Re: (スコア:0)
UIの変更は前のOSを古く見せて買い替えを促すものだろう
Re: (スコア:0)
Fluent「やあ」
Re: (スコア:0)
Windows8で痛い思いをしたのでもう二度としないだろう。
特に操作性に響く部分は変えてはいけない部分。どうしても変えたければ新旧並列でユーザに任せるべき。
Macですら見た目は大幅に変えても基本的な操作方法は変えてない。
Re: (スコア:0)
いや、最近だとGrooveミュージックとか天気とかのアイコンが様変わりしたよ。あの人には無理なんじゃないかな。
Re: (スコア:0)
Appleのオペレーティング・システムはマルウェアだ [gnu.org]
Androidもセキュリティやプライバシーにて悪だが、カスタムROMと
Replicant [replicant.us]
/e/ [e.foundation] 「脱Google」のために中古Android端末に独自のOSをインストールして販売するプロジェクト [mobile.srad.jp]
アプリレポジトリ
F-Droid [f-droid.org]
Firefox(iOSのサードパーティのブラウザは実質safariで、iOSの更新が終わればsafariも更新されない)
Fennec F-Droid [f-droid.org]
Google Playのアプリから既知のトラッキングを調べる
εxodus [eu.org]
Re: (スコア:0)
MacOSは悪といいつつ、なんでまっさきにサードパーティのアプリの話をしてるんですかねえそのGNUのサイト……。
Re: (スコア:0)
え?
Malwarebytes調べ、Macに対する脅威がWindowsに対する脅威を初めて上回る [apple.srad.jp]
Re: (スコア:0)
いまiPhoneってこんな酷いのか…
https://gigazine.net/news/20200308-ios-adware/ [gigazine.net]
Re: (スコア:0)
それは素晴らしい!
Android 9から10になった端末はどうなるんだろう。
手持ちに二台Android 9の端末があるので。
一台は10になる予定がある。新型コロナウイルスの影響か、予定より遅れているけど。
そしてもう一台は最初からProject Trebleな端末だけど、セキュリティアップデートが来なくなった・・・。
Re: (スコア:0)
どの程度までのパッチが配信されるようになるのかわからない
例えばKr00kとかには対応できるのだろうか
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表
https://security.srad.jp/story/20/03/02/1233248/ [security.srad.jp]
Re: (スコア:0)
これもAndroid 10ならどの機種でもってわけではないよね?
うちのEssentialは使えてないし。
Android 10で出荷される機種なら良いのかね?
Re: (スコア:0)
箸が転んでも笑うお年頃
Androidはストアで安全性を確保している (スコア:0)
結局Androidは、Linuxの設計由来の限界でWindows Updateのような中央集権的なアップデートができず、
代わりにユーザーの自由を制限することで、すなわちユーザーに管理者権限を与えず、
かつ原則的にストア以外からのアプリインストールを禁止することで、
システム全体としての安全性を確保するエコシステムだと理解している。
これはこれで一つのあり方だろう。脆弱性の件数だけでエコシステム全体の安全性の判断はできない。
OSとしてWindowsと比べると見劣りするけど。Windowsは…もはや賞賛するしかない。
Re:Androidはストアで安全性を確保している(スコア:-1 荒らし) (スコア:0)
そりゃ、各ベンダーが独自にカスタマイズしているAndroidの脆弱性件数と
1ベンダーが開発しているWindowsの脆弱性件数は60件程度の差しかなく、
ベンダー別だとMicrosoftがトップなんだから、
WindowsはAndroidと比べて・・・だろ?
Re: (スコア:0)
そりゃ、各ベンダーが独自にカスタマイズしているAndroidの脆弱性件数
今回の集計って個別の端末由来のは含まれてないっぽいけど。
ざっとしか見てないけど、単純にGoogleが公開してるカスタマイズされてないAndroidの脆弱性件数に見受けられた。
# Windowsだってベンダーが独自にプリインストールしてるユーティリティソフトの脆弱性まで「Windowsの脆弱性」とはカウントせんでしょうし
Re: (スコア:0)
上のコメントでは、Googleがメーカー問わずアップデートを配信するようになったそうだが…これは中央集権的なアップデートではないのか?Linuxが中央集権的アップデートするのを妨げている「設計に由来する限界」というのは具体的に何なのだろうか?
Re: (スコア:0)
ベンダーがカーネルに手を入れすぎ。そんなのベンダーしかサポートできない。
Re: (スコア:0)
カーネルに手を入れることができることは、「設計に由来する限界」なのだろうか?
Re:Androidはストアで安全性を確保している (スコア:2, 興味深い)
エコシステムとしては「設計に由来する限界」じゃないかな。
Linuxの場合、ドライバに使うLKMのAPIやABIが結構簡単にコロコロ変わるので、
脆弱性のあるドライバだけ更新したくても、カーネルのビルドが必要なパターンが有ります。
APIやABIが安定してれば、カーネルだけ更新とかドライバだけ更新とかWindowsみたいに気軽に出来るのですが、
Linuxの場合はカーネルのビルドが必要=メーカーの改変内容の適切な適用とビルドが必要となるパターンが多い。
それを何とかしようとしてるのが、Project Treble(メーカー改変部の分離)とか、Project Mainline(一部モジュールの分離)
ちなみに、Android 10でGoogleが配信出来るようになったのも一部分。
APIやABIの変更を吸収する仕組みを入れてAndroidシステムのWebView [google.com]みたいな感じで、
脆弱性の宝庫なモジュール(メディアフレームワーク回りとか)を更新可能になったって話です。
# セキュリティ情報 [android.com]見ればわかりますが、メディアフレームワークは毎月のようにアレなバグを量産してる。
Re: (スコア:0)
なるほど。LinuxにはABI・APIの互換性を保証し、カーネルのリビルドを必要とせず、メーカー側で用意したバイナリがアップデートにより動作しなくなることを防ぐ機構が存在しない。WindowsはABI・APIの互換性を担保できるように緩衝レイヤーが存在しているということか。
Re: (スコア:0)
LinuxのABIには互換性を持たない方針の内部のレイヤと、互換性を持たせる方針の外部のレイヤがある。
幸か不幸か、ドライバは内部を使っている。
Windowsのドライバは上記でいう外側に相当するものを使っている。
でも、グラフィックカードのドライバモデルが変わったとかそういうのもあったはずだ。
Re: (スコア:0)
他の現代のディストリはほとんど自動アップデートが提供されていますが…
その上Windows Updateみたいに時間がかかる上に頻繁に問題を起こすダサい仕組みじゃないよ。
ちなみに設計由来の問題とは何をさして言っているのでしょう?
Re: (スコア:0)
Ubuntuのアップデートマネージャーで更新があるもの全部更新かけたら依存関係おかしくなってぶっ壊れたけど
Re: (スコア:0)
GUIでaptしたいレベルの人にはGNU/Linuxはまだ早い
Re: (スコア:0)
GNU/Linuxの品質が実用レベルにはまだ遠い
Re: (スコア:0)
レスつけるのもう一段上じゃないかな
Re: (スコア:0)
「で、あってる?」と聞いてしまった時点でアウト
Re: (スコア:0)
目糞鼻糞
Re: (スコア:0)
20年前からタイムスリップしてきたのかな?最新のUbuntuのGUIは簡単に使えるよ、おじいちゃん。
Re: (スコア:0)
Ubuntuの利用者の7割が作業の8割をGUIで快適にできるようになってから出直しな。
雑魚レベルの成熟度で満足してるからLinuxデスクトップは負け続けるんだよ。
Re:Androidはストアで安全性を確保している (スコア:1)
Ubuntuの利用者の7割(以上)は、サーバ利用者で、
そもそもGUIなんて使わないと思うが……
Re: (スコア:0)
更新の前に自分で依存関係ぶっ壊してるんじゃないの?
他のディストリのパッケージ無理やり突っ込んだり、野良ビルドしたりしてさ。
昔そういうのよくやったよ。
Re: (スコア:0)
オフトピだけど、私の経験上、UbuntuはクリーンなLTS間のバージョンアップですら成功した試しがない
みなさん何年も継続してUbuntuのデスクトップ環境を維持できてるの??
Ubuntuは脆いイメージが確かにある
Re: (スコア:0)
クリーンインストールの状態から更新のあるものをまとめてアップデート、これだけで壊れる。
これがLinuxクオリティ。
Re: (スコア:0)
パッケージの更新には管理者権限が必要なこと、管理ツールがそもそも複数あることなどから、
ディストリ側でalternativesとか提供しても、ユーザーが選択するのはpyenvである点とか。
Re: (スコア:0)
俺はWindows結構好きだけど、一般ユーザー用途でも中央のアップデート手段は
Windows Update
Microsoft Store
Chromium Edgeのアップデータ
の3つある。そうなった理由は理解できるものだが、賞賛するようなものでもない。
Re: (スコア:0)
設計由来の限界とか無理にLinux叩きに走らなければそれなりに説得力ありそうだったのに
Appleの場合は、単純に目玉が足りていない (スコア:0)
または、Apple以外に目玉が許されないのでは?
# 某提督「最悪の民主政治でも最良の専制政治に優る」
Re: (スコア:0)
そのマカーは目玉が林檎に置き換わっていた。文字どおりAppleに目を奪われたようだ。
-- Anonymous Coward
Re: (スコア:0)
こんな会社を上場させてるNYSEも連帯責任だな
# 多分ナスダックに上場できない裏の理由があったんでしょうね
Re:Antutu(安兔兔)ベンチマークがBAN (スコア:1)
昔からおっちょこちょいな企業だが、信者が祭り上げてなぜか安全なものといわれている。
Re: (スコア:0)
こういうベンチマークアプリは両スマホを比較する意識高い人しか使わないから、一般人は一生使わないのでどうでもいいです。
Re: (スコア:0)
iPhone以前から、Macは安全って言い張る人がいっぱいいた。
OS X以前から。
色々勘違いした人がいっぱいいた。