「Google、Androidの『甚大な』Stagefright脆弱性は『影響は皆無』と主張」

www.theregister.co.uk

先日（2/13-17）行われたRSAカンファレンスUSAにて、Androidのセキュリティを管轄するAdrian Ludwig氏が発表を行い、Stagefright脆弱性による実際の影響は何ら確認されていないと述べました。

また、他にもAndroidでは多数の端末に影響するとされる脆弱性が何回も発見されていますが、それらによる実際の侵害事例は、ゼロではないもののごく少数と述べています（例：MasterKey脆弱性の場合、100万ユーザーにつき最大8件）。

たしかに、Androidでマルウェアというと、Google Play以外で落としたアプリの問題が多い印象があります（Google Playでも時々見つかってますが）。Drive-by-download型などがあまり見られないのは、やはりユーザ権限を限定し、初期設定では公式ストア以外からのインストールを禁止していることが大きい印象です（発表でもそう述べられています）。

ただし、国家レベルの侵入の場合は、ターゲットが明確なため、この話とは違う世界があるはずです。スノーデン氏によるNSA暴露資料でも、iOSを含めた侵入が前提でしたし。