セキュリティパッチ義務化と課題

Androidのパッチ提供の義務化をOEM契約に盛り込むとGoogleが発表しています。

Googleが提供する月例セキュリティパッチを配信するかしないかは、OEMベンダーの自由でした。
このため、大部分のAndroid端末がセキュリティパッチを網羅していない状態で、ほとんどのベンダーにパッチの抜け落ちが有る状態です。

欠落していたパッチの数 (Security Research Labs の調査)

  • 0-1--Google, Sony, Samsung, Wiko Mobile
  • 1-3--Xiaomi, OnePlus, Nokia
  • 3-4--HTC, Huawei, LG, Motorola
  • 4以上--TCL, ZTE

セキュリティ確保のためにはパッチは必要ですが、パッチの適用では問題も起きています。

パッチにより着信拒否ができなくなる

Androidの月例セキュリティパッチ2018-05-01を適用すると、あんしんフィルターの着信拒否機能が働かなくなる事象が発生しています(ドコモの発表UQモバイルの発表)。

セキュリテイが強化され、アプリの権限が制限されると、アプリにより実現していた機能は影響を受ける可能性があります。

パッチにより技適違反に

パッチをあてると技適違反になるとシャープが発表しています。

Bluetoothの送信出力が規定値を超え技術基準に適合しなくなるそうです。

5 ヵ月後にパッチを修正するパッチがリリースされていますが、技適違反であることの発表は、10ヵ月後の2018年5月28日です

端末で法令対応する場合の課題

技術基準適合証明は、発売時に取得するだけで、パッチの都度再認証はしていません。

今後、「通報者とつながりやすくなる5機能」などを端末側に実装すると、端末のソフトウェア更新の際の確認が課題になってきます。

「モバイル端末は設計時に機能が確定するハードウェアである」という暗黙の前提で成立している技術基準適合証明は、Googleの月例パッチなどのソフトウェア更新で毎月機能が修正される状態にどう対応するのかが課題です。

「青少年インターネット環境整備法」対応でのフィルタリングなども同様です。

最近のブログ記事

スマホ搭載カメラの多眼化
h2{ font-size:120%…
0.5インチUXGAディスプレイ
マイクロ・ディスプレイをSONYが発表し…
セキュリティパッチ義務化と課題
h2{ font-size:120%…
カスタム検索

月別 アーカイブ