Android自身は、そのベースとしてLinux OSを利用しています。そしてAndroidのセキュリティも、LinuxのユーザーIDによるサンドボックスモデルが基本になっています。すなわち、Androidにインストールされている個々のアプリケーションには、Linuxで言う一般ユーザー権限に相当する権限が割り振られ、その権限で許される範囲でしか動作することができません。例えば、ほかのアプリケーションが所有しているファイルに書き込み／アクセスすることは基本的にはできません。さらにネットワークを使って外部と通信したり、位置情報を調べたり、システムリソースにアクセスする場合には、そのアプリケーションをインストールして良いか、明示的にユーザーに許可を求める仕組みになっています。
このような仕組みによって、Androidはある程度のセキュリティレベルを保っていると言えます。しかし、ユーザーがマルウェアやバグのあるアプリケーションを知らずにインストールしてしまうこと、SDカード経由での感染、インターネット上の問題あるWebサイトや不適切なWebサイトへのアクセス、端末紛失によるデータ漏えいなどを防ぐには不十分です。やはり、前回述べたコンテンツスキャンやWeb Rating、Anti-Theftのような技術を用いて、利用場面に応じたセキュリティ強化が必要です。

しかし、誰でもアプリケーションを開発できる以上、信頼できるアプリケーションばかりがマーケットで流通しているとは限りません。マーケットを開設している側とすれば、自分のところで流通しているアプリケーションは安心してユーザーに使ってもらいたいと思うことは当然です。登録アプリケーションを審査し、自らセキュリティを担保しようという動きが始まっています。そのような背景の中、アプリケーション配信システムと連携して登録されたアプリケーションの安全性をチェックする技術、ユーザーに「ダウンロードして使っても大丈夫ですよ」という意味の安心マークを付与するような認証サービスも求められます。

Androidに見るスマートフォンセキュリティの将来像 - ITmedia エンタープライズ