セキュリティ企業のブルーボックス・ラボは、アマゾン、ベスト・バイ、Kマート、コールズ、ステープルズ、ターゲット、ウォルマートなど大手小売業者のブラックフライデー特売品Androidタブレット12台をテストし、新製品に「衝撃的な」セキュリティ欠陥、マルウェア、アクティブなバックドアがインストールされていたと報告した。
ブルーボックスが調査した12種類の「ドアバスター」Androidタブレットすべてに、Masterkey、FakeID、Heartbleed、Futexなどのパッチ未適用のAndroidの脆弱性が含まれていることが判明し、4分の1以上がセキュリティ設定ミスやアクティブなバックドアがインストールされた状態で販売された。
Bluebox は昨年、Android の Masterkey「ゾンビ ボットネット」の脆弱性を発見し、今年の夏初めには FakeID スーパーマルウェアの詳細を報告しました。
Googleは、AndroidのHeartbleedとFutexの脆弱性に加え、これら2つの脆弱性に対するパッチをリリースしていますが、大手小売業者は、これらのパッチ未適用の脆弱性を抱えたままの新しいAndroid製品を積極的に宣伝しています。また、リモートエクスプロイトが未公開のまま出荷されたり、Google Playへのアクセスがブロックされたり、GoogleがAndroidに追加したセキュリティ機能が無効化されたりしているデバイスも存在します。
ベストバイは最悪のものの一つを提供している
販売されていた最悪のデバイスの一つは、ベスト・バイが販売していたDigiLand製のAndroidタブレットで、Androidオープンソースプロジェクトのテストキーで署名されたソフトウェアを実行していました。セキュリティ企業は、このキーは「攻撃者がトロイの木馬型のシステムアップデートを簡単に作成できるため、商用デバイスのファームウェア署名には使用すべきではない」と指摘しています。
Best Buy のデバイスには、ルート権限で実行されるデバイスへの USB デバッグ接続も付属しており、「つまり、デバイスは箱から出した時点で実質的にルート化された状態になっている」と Bluebox は指摘している。
ベスト・バイは、このタブレットを1024 x 600の解像度(4年前のAppleの初代iPadよりも低い)で「メディアを鮮明に表示」し、MediaTekのクアッドコアプロセッサとARM Mail 450グラフィックスを搭載し「鮮やかな画像」を実現すると宣伝している。ベスト・バイのウェブページには、「顧客の92%がこの製品を友人に勧める」と書かれている。
ターゲット、Kマート、コールズ、ステープルズ、ウォルグリーンがホリデーシーズンに向けて質の悪いAndroidタブレットを販売
ターゲットが販売するRCA Mercury Androidタブレットには、「出荷時に2つの既知の脆弱性」が存在します。KmartのMach Speed Xtreme Androidタブレットも同様です。後者のデバイスは、「悪意のあるサードパーティ製アプリのインストールからタブレットを保護するセキュリティ設定が無効になっている」という問題もあります。
コールズが販売したZeki Androidタブレットは「全ラインナップの中で最悪のタブレットだった」と同社は述べ、詳細を「Androidの4つの主要なセキュリティ脆弱性の影響を受けやすく、USBデバッグがデフォルトでオンになっており、セキュリティバックドアがプリインストールされており、AOSPテストキーで署名されており、Google Playが含まれていないため、Googleの追加のアプリセキュリティスクリーニングプロセスの恩恵を受けられないサードパーティのアプリマーケットを使用する必要がある」としている。
Kohl's の Web サイトでは、手を振っている Android マスコットを描いた Zeki タブレットが紹介されており、このデバイスが Google Play をサポートしていることが示されており、AOSP デバイスであるにもかかわらず、他の Google アプリがバンドルされている様子が描かれている。
Staple'sで販売されているMach Speed JLab Pro-7タブレットはAndroid 4.4.2を搭載していますが、Blueboxによると、USBポート経由のデータ盗難を防ぐパッチなど、Googleが4.4.2で追加したセキュリティ機能を削除するカスタマイズが含まれているとのことです。この安価なデバイスには、「開発者モードとUSBデバッグがデフォルトで有効」になっています。
同社は、ウォルグリーンがブラックフライデー特別に提供したポラロイドA7 Androidタブレットが、Amazonが販売しているモデルと同じと思われると指摘し、「既知のAndroidセキュリティバグ4件に脆弱で、出荷時にルート化されており、悪意のあるサードパーティからのアプリのインストールを防ぐセキュリティ設定がデフォルトで無効になっている。テスト対象となったタブレットの中で、信頼スコアが最も低いものの一つだった」と述べている。
同社は、このデバイスは「工場出荷時に『su』がインストールされているため、攻撃者はエクスプロイトを実行しなくてもシステムに自由にアクセスできる」ため「事前にルート化されている」と説明し、「悪意のあるサードパーティのソースからアプリがインストールされるのを防ぐセキュリティ構成設定がデフォルトで無効になっている」としている。
ウォルマートとアマゾンは、不良Androidの品揃えが最も豊富かもしれない
ブルーボックスはウォルマートで複数のタブレットを購入したが、その中には、2つの既知の脆弱性を抱えたまま出荷された、店舗の「本日のお買い得品」であるパイオニアタブレット、3つの脆弱性を抱えたエマティックとRCAのタブレット、そして2つの脆弱性を抱え「ラインナップの中で最悪のタブレットの中で一番良い」タブレットの1つと評されたネクストブックタブレットが含まれていた。
ウォルマートが販売するWorryfree Gadgets Zeepad Androidタブレットには、「2つの重大なAndroidセキュリティ脆弱性があり、USBデバッグがデフォルトでオンになっており、セキュリティバックドアがプリインストールされている」とのこと。
Bluebox はまた、デバイス ベンダーが発表した海賊版 Angry Birds など、既知の「アドウェア/リスクウェア」が同梱されているタブレットもいくつか発見しました。
「これは、ベンダーがAngry Birdsを改変し、開発者が当初意図していたよりも多くの情報を収集できた可能性があることを意味します」と同社は説明した。「また、署名鍵が異なるため、タブレット版のAngry Birdsは元の開発者からアップデートを受け取ることができません。」
Bluebox Labs、悪質なAndroid向けセキュリティスキャナーを提供
Blueboxは、Google PlayでTrustableアプリを提供しており、デバイスの既知のセキュリティ上の欠陥や設定を評価できます。また、Android 4.0以降のデバイス向けにAndroidユーザーセキュリティガイドのチェックリストも提供しています。このチェックリストには、特にSamsungデバイスにおいて、NFC、DLNAファイル共有、スクリーンミラーリングといった安全でないAndroid機能を無効にするための提案が含まれています。
セキュリティ企業は、高価なAndroidタブレットは既知の脆弱性やセキュリティ設定ミスがなく出荷される可能性が高いと指摘し、Samsung Galaxy Tab3とHTCのGoogleブランドのNexus 9の両方を「信頼できる」ものとして挙げた。
しかし、Androidタブレットの出荷台数の大部分は割安なデバイスです。GoogleのNexus 9は、実際には販売を目的としたものではなく、Androidベンダーが追随すべきモデルを提供することを目的としているようです。多くのベンダーにとって、Googleの先例に倣うことは自社の利益にはなりません。特に、サードパーティストアのアプリを販売したり、何も知らない購入者からデータを収集したりすることを目的としたAOSPデバイスにおいてはなおさらです。
アップルとアンドロイドを比較する
セキュリティ企業は、「すべてのデバイスのセキュリティが同等ではないことを認識してください。Bluebox Labsは、安価なAndroidデバイスでセキュリティが平均以下になっているものを頻繁に確認しています。可能であれば、これらのデバイスの使用を避けることをお勧めします。そうでない場合は、シンプルなゲーム、メディアエンターテイメント、公共のWebブラウジングなど、リスクの低いアクティビティにのみ使用してください。これらのデバイスでオンラインバンキング、購入、機密データの保存を行うことは避けてください。そうしないと、データが危険にさらされることになります。」と結論付けています。
Bluebox は、はるかに短い iOS ユーザー セキュリティ ガイドも提供しています。Apple の NFC、AirDrop ファイル共有、AirPlay スクリーン ミラーリングの実装はすべて十分に安全であるため、Bluebox はセキュリティ ガイドでユーザーにこれらをオフにすることを推奨していません。
BlueboxはiOS向けの脆弱性スキャナーアプリを保守していません。このアプリはMasterkey、FakeID、Heartbleed、Futexの影響を受けません。また、Appleはサードパーティベンダーによるセキュリティ機能の削除または無効化されたiOSの改変版の販売を許可しておらず、iOSユーザー向けに定期的にセキュリティパッチをリリースしています。
