Google は Android のセキュリティに力を入れており、この目的のために、複数のバグや潜在的な脆弱性が修正されたセキュリティ パッチを毎月リリースしています。昨年末、Bluetooth プロトコルのBlueBorne の脆弱性と、 WPA2 WiFi を攻撃する KRACK により、誰もが警戒しました。実際、これらのセキュリティ上の欠陥は今年も続いており、 Spectre/Meltdown脆弱性が出現しました。これらはすべて、後続のセキュリティ パッチで修正されています。
携帯電話の安全性を確保するには、該当のメーカーにこれらのセキュリティ パッチを適用してもらう必要があります。これまで、ほとんどのブランドが準拠しており、一般に、最近の携帯電話には、せいぜい 2 ~ 3 か月前のセキュリティ パッチが常に提供されています。
Android セキュリティ パッチとメーカーのセキュリティ パッチを区別する
XDA-Developersから、Google がこれらの月例セキュリティ パッチの配布の変更を検討しているとの記事を読みました。 AOSP に表示されるコミットを通じて、現在の「ro.build.version.security_patch」に相当する「ro.vendor.build.security_patch」を読み取ることができます。
現在、携帯電話に 4 月のセキュリティ パッチが適用されていると主張されている場合、それは、プロセッサと個々の特性に応じて、Android フレームワークにそのレベルの脆弱性と、デバイス自体のカーネル レベルおよびブートローダー レベルのすべての脆弱性の両方が存在することを意味します。メーカーがセキュリティ パッチを追加すると、デバイスの脆弱性が解決されます。通常、ほとんどの携帯電話で同等であるため、実装は簡単ですが、常にそうとは限りません。
セキュリティ パッチの日付に関しては、1 日目か 5 日目かに応じて、興味深い詳細が示されています。同じ月の 5 日のものであれば、メーカーのパッチだけでなく Android フレームワークのパッチも含まれていることを意味しますが、1 日のものであれば、問題の Android フレームワークのパッチが提供されていることを意味します。 Google ですが、メーカーのパッチの場合は前月のものになります。
最新のセキュリティ アップデート: Google の目標
ほとんどのユーザーにとってはバックグラウンドに追いやられている状況ですが、専門分野にとってはセキュリティを最新の状態に保つことが重要です。
これを行うために、Google は、修正されたすべての脆弱性が含まれているか、それとも Android フレームワークの脆弱性が単に実装されているかに基づいて、毎月のセキュリティ パッチを分離することができます。これにより、Google はセキュリティ アップデート プロセスを高速化し、メーカーがさまざまなセクションを個別にアップデートできるようにしたいと考えています。
Google は設定にセキュリティ パッチの最低日付を表示することもできます。つまり、たとえば、携帯電話の Android フレームワークには 4 月のパッチがあるが、メーカー レベルでは 3 月のパッチしかない場合、その携帯電話には 3 月のパッチしかないことが示されます。私たちは、セキュリティ パッチのバリエーションの可能性、およびこの点に関する変更がGoogle I/O 2018で発表されるかどうかに注意を払っていきます。