Androidスマートフォンを評価する際、個人ユーザー、規制当局、および導入企業が直面する共通の問題がある。GoogleがAndroidのセキュリティバグの修正を行ったあと、どのメーカーがパッチを供給するのか、誰にも分からないのだ。
ケンブリッジ大学のDaniel Thomas氏、Alastair Beresford氏、Andrew Rice氏による調査チームは今回の論文(PDF)で、「難しいのは、Androidのセキュリティ市場が現在、情報の非対称性により不良品ばかりが出回ってしまう状態にあることだ」と指摘している。
「メーカーはデバイスが現在セキュアかどうか、将来セキュリティ更新を受け取るかどうかを把握しているのに対し、顧客はこれらを把握しておらず、ここに情報の非対称性が存在する」(同論文)
調査チームは、「Device Analyzer」というアプリがインストールされたAndroidデバイス2万台以上から収集したデータを分析した。その結果、Androidデバイスの87%は、最近発見された(Cyanogenが2014年に修正した)「TowelRoot」の問題や、「FakeID」を含む、過去5年間に公知となった11件のバグのうち少なくとも1件に対して脆弱だった。
研究者らはまた、Androidデバイスが1年あたり平均1.26回のアップデートを受信していることを明らかにした。
Rice氏は、「セキュリティコミュニティーはしばらく前から、Androidデバイスのセキュリティ更新の不足を心配してきた」と述べた。
「われわれの願いは、この問題を定量化してスマートフォンを選択する人々を支援できるようになることと、それが今度はメーカーと通信事業者に更新を配布を促す刺激になることだ」(Rice氏)