未処分利益

日記 メモ 映画 小説 感想 読書 Android iOS

トップ > android > 僕周辺のAndroid disな人たちが「だからAndroidは駄目なんだよ!」ってニヤニヤしていた話

僕周辺のAndroid disな人たちが「だからAndroidは駄目なんだよ!」ってニヤニヤしていた話

android

HTC Nexus 9 ( Android/ 8.9inch IPS LCD / NVIDIA Tegra K1 / 16G / インディゴ ブラック ) 99HZF035-00

HTC Nexus 9 ( Android/ 8.9inch IPS LCD / NVIDIA Tegra K1 / 16G / インディゴ ブラック ) 99HZF035-00

Understanding WebView and Android security patches | Android Central

上記の記事にある通り、 JellyBean以下の古いOSバージョンはもうサポートしないというGoogle側のスタンスが明らかになりました。

以下、上記の記事を要約。

具体的な話

GoogleとしてはJellyBean以下についてWebViewの脆弱性はOEMに報告はするけど、Google側ではJellyBean以下向けにパッチは作らないということですね。

AndroidのWebView

JellyBean以下

  • Apple’s WebKit (サファリブラウザと同じやつ)

KitKat

  • Chromium (GoolgeのBlinkエンジンを使っているChromeのやつ)

Lollipop

  • OSから切り離した単独のアプリ(GooglePlayで速攻アプデできるようになったやつ)

サポートがされないということはどういうことか

  • WebViewの脆弱性が修正されないので、WebViewでロードしたコンテンツによって極端な話、Root権限を取られたりするなどのリスクがあります

  • JellyBean以下の端末が、世界の実動端末の60%を占める中、HTCやSamsung、LGといった各OEMメーカーの端末には独自のブラウザーアプリがプリインされてします。これらはズバリWebViewで作られているので当然WebViewの脆弱性を狙われるリスクを孕んでいるわけです。そして、Googleがサポートしないということは、実質的にユーザの「安全」はOEMメーカーに委ねらたことになります。

4系OSのユーザーの場合、WebViewベースではないChromeやFireFoxのブラウザアプリを使うことで脆弱性を突いた攻撃を防ぐことはできますが、それでも内部でWebViewを使っているアプリなどについては用心が必要です。 脆弱性を抱えるWebViewでコンテンツをロードするようなアプリを使うよりも、単純にWebでブラウジングしている時にマルウェアに遭遇する方がリスクは高そうに考えられるでしょう。しかし。今のご時世、キュレーションアプリやソーシャルアプリを使っているとアプリ内から全く無関係のWebコンテンツへ飛ばされてしまうことは往々にしてあるのでアプリのWebVIewによるリスクは十分高いと考えられます。個人的に最近、Facebookのタイムライン上でそういったコンテンツ(導線)を頻繁に見るなーという印象です。

Androidのアップデートの現状

Googleがどんなアクションを取るかに関わらず、更新される見込みがほとんど無いJellyBean以下の端末が今も尚、実動端末の60%以上を占めていることは大きな問題です。仮にGoogleがJellyBean以下向けにWebViewの修正パッチを書いたとしても、OEMメーカー(キャリアも含む)がOTAでその修正更新を端末に配信しなければ一般ユーザには反映されません。OEMメーカとしてもJellyBean以下のOSに対し、Googleのパッチを元に各自社端末に対応するモチベーションは最早ありません。それだったら、はやくKitKatの配信をしてくれよっていう・・・。

Googleの目論みとしては、1年以上前のKitKat(Android4.4)リリース時にJellyBeanの抱えていたWebViewの脆弱性について修正を行っているから、OEMメーカーがその修正を現行の各JellyBean端末へ適用すれば、結果として誰も脆弱性を抱えたWebViewを使わない、もしくは1年以上時間が経過すれば各端末にはすっかりKitKatが配信されているから問題ないよねという感じなのでしょう。
残念なことにそうはなりませんでした。

Google的には今回の件を踏まえ、LollipopからはWebViewをOSから切り離してGooglePlayで提供する形にしたのでパッチの対応と配信の問題はLollipop以降のOSでは解決されそうです。

というわけで

現状、JellyBean以下についてはOEMメーカに対応が委ねられている状態ですけど、あまり期待できそうにありません。 とりあえず、自分の使っている端末がJellyBean以下だったら下記の対応をするに限ります。

  • ブラウザはChromeかFireFoxを使う
  • WebView使っているアプリについては自分が信頼できるものだけ使う
  • Facebookアプリ等はビルトインブラウザの利用を切って、ブラウザを選べるようにしておく

Lollipopから脆弱性対応とその配信問題についてはGooglePlay経由で行うので、Lollipop以降のOSから現状のような辛い状況は避けられそうですけど、未だにKitKatの端末が全体の4割という現状を鑑みるとLollipopが主流になってこのWebVIew関連の抜本的な改善の恩恵をAndroidユーザが等しく受けるにはまだまだ時間がかかりそうですね。

結論

Lollipopこそが至高
LollipopからこそがAndroid