Android 4.4 よりも前のバージョンにセキュリティパッチ提供終了の恐れ

Rapid7 の研究者によると、セキュリティ面に関して、Google は Android 4.4 よりも前のバージョンに対するサポートを終了している可能性があるそうです。4.4 より前のバージョンを切り捨てられれば、アプリ開発には追い風なのですが、社会的負担と折り合いがつくのでしょうか。

以下のブログや記事によると

Google No Longer Provides Patches for WebView Jelly Bean and Prior

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ

Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」と返事があったという。

Androidアプリにブラウザ機能を組み込むときには
WebView というコンポーネントを使います。
そして、WebView はまさにブラウザとして機能します。

Android 4.3 までの WebView は WebKit ベースでした。
WebKit は Safari、(Androidのデフォルトの) Browser、
そして Google Chrome 28 以前の HTMLレンダリング
エンジン (ブラウザの中核をなすプログラム) です。

レンダリングエンジンの共通性を考えれば、
セキュリティや機能面でこれらをまとめて
アップデートするのは合理的です。

ところが、Apple と Google の開発方針のズレなどから
2013年に Google は Chrome なのどの HTMLレンダリング
エンジンを Blink ベースに切り替えています。
WebView もAndroid 4.4 から Blink ベースに切り替わります。

これによって、Android 4.4 から WebView の
HTML5 や CSS3 への対状況はぐっと良くなりました。
Android 5.0 の WebView にいたっては
iOS 8 の Safari から使えるようになった
WebGL (ネイティブアプリなみの3Dグラフィックス機能)
も使用することができます。

その反面、Google にとって WebKit ベースの
ブラウザのメンテナンスは足かせとなりました。

このあたりの事情を考えると
Google が Android 4.4 より前のバージョンを
切り捨てたいと考えても不思議はありません。

今のところ Google は Nexus シリーズという
リファレンス (設計の見本) 端末を定期的に出しており、
これらに関しては発売から18ヶ月はアップデートを保証しています。

これを目安に、各ベンダーに自力で
対応してもらう方針なのかもしれません。

ただ、日本国内では契約形態の都合もあって、
ケータイやスマートフォンを2年以上
使用し続けるのは自然なことです。

また、多くの国では iOS よりも Android の方が
圧倒的なシェアを持っています。
それらのなかには Nexus のような高性能端末ではなく、
ハードウェア性能的に Android 4.4 へのアップデート
が難しいものも沢山あります。

Android 4.4 以上のシェアは約40%なので、
脆弱性を持つ端末が60%、台数にして
9億3000万台以上の Android 端末が危険となります。

Android 4.1 の公開は 2012年7月、
Android 4.3 の公開が 2013年7月です。
全員が Android 4.4 以上にアップデートないし
買い替えてくれるなら良いですが、そうはならず
もうしばらくは使い続けるのではないかと思います。

放置される脆弱性によっては
非常に大きな社会的リスクになります。

一般に、セキュリティリスクがあろうとも
今まで通り電話、メール、アプリが使えることが望まれます。
リスクがある場合にはそれらが使用不能に
なって欲しいという人は稀でしょう。
というより、セキュリティなど意識しない人が多いことでしょう。
ですからとても攻撃しやすいのです。

今後、遠隔で乗っ取られるような脆弱性が見つかり、
それが放置されないことを祈ります。

お問い合わせについて

業務として技術コンサルティングやシステム設計・開発を行っております。
気になることがありましたらご相談下さい。
ご相談のみで完結する場合、コンサルティング費用の目安は
内容によりますが1時間で5千円〜1万円ていどです。
コンサルティングや開発を検討されるその前に、
まずはお気軽にコメントやメールでご連絡下さい。
ご契約前のコメントやメールでのやりとりは無料です。

お問い合わせフォーム

お急ぎの場合など、ただちに業務対応が必要な場合は、こちらのお問い合わせフォームをご利用ください。かきしちカンパニーお客様窓口が直ちに対応いたします。
※窓口へのお問い合わせ、お見積もりは無料です。


お名前 (必須)

メールアドレス (必須)

題名

メッセージ本文 (必須)

Share

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*