僕周辺のAndroid disな人たちが「だからAndroidは駄目なんだよ!」ってニヤニヤしていた話
HTC Nexus 9 ( Android/ 8.9inch IPS LCD / NVIDIA Tegra K1 / 16G / インディゴ ブラック ) 99HZF035-00
- 出版社/メーカー: HTC
- 発売日: 2014/11/29
- メディア: Personal Computers
- この商品を含むブログ (10件) を見る
Understanding WebView and Android security patches | Android Central
上記の記事にある通り、
JellyBean
以下の古いOSバージョンはもうサポートしないというGoogle側のスタンスが明らかになりました。
以下、上記の記事を要約。
具体的な話
GoogleとしてはJellyBean
以下についてWebViewの脆弱性はOEMに報告はするけど、Google側ではJellyBean
以下向けにパッチは作らないということですね。
AndroidのWebView
JellyBean以下
- Apple’s WebKit (サファリブラウザと同じやつ)
KitKat
- Chromium (GoolgeのBlinkエンジンを使っているChromeのやつ)
Lollipop
- OSから切り離した単独のアプリ(GooglePlayで速攻アプデできるようになったやつ)
サポートがされないということはどういうことか
WebViewの脆弱性が修正されないので、WebViewでロードしたコンテンツによって極端な話、Root権限を取られたりするなどのリスクがあります
JellyBean
以下の端末が、世界の実動端末の60%を占める中、HTCやSamsung、LGといった各OEMメーカーの端末には独自のブラウザーアプリがプリインされてします。これらはズバリWebViewで作られているので当然WebViewの脆弱性を狙われるリスクを孕んでいるわけです。そして、Googleがサポートしないということは、実質的にユーザの「安全」はOEMメーカーに委ねらたことになります。
4系OSのユーザーの場合、WebViewベースではないChromeやFireFoxのブラウザアプリを使うことで脆弱性を突いた攻撃を防ぐことはできますが、それでも内部でWebViewを使っているアプリなどについては用心が必要です。 脆弱性を抱えるWebViewでコンテンツをロードするようなアプリを使うよりも、単純にWebでブラウジングしている時にマルウェアに遭遇する方がリスクは高そうに考えられるでしょう。しかし。今のご時世、キュレーションアプリやソーシャルアプリを使っているとアプリ内から全く無関係のWebコンテンツへ飛ばされてしまうことは往々にしてあるのでアプリのWebVIewによるリスクは十分高いと考えられます。個人的に最近、Facebookのタイムライン上でそういったコンテンツ(導線)を頻繁に見るなーという印象です。
Androidのアップデートの現状
Googleがどんなアクションを取るかに関わらず、更新される見込みがほとんど無いJellyBean以下の端末が今も尚、実動端末の60%以上を占めていることは大きな問題です。仮にGoogleがJellyBean
以下向けにWebViewの修正パッチを書いたとしても、OEMメーカー(キャリアも含む)がOTAでその修正更新を端末に配信しなければ一般ユーザには反映されません。OEMメーカとしてもJellyBean
以下のOSに対し、Googleのパッチを元に各自社端末に対応するモチベーションは最早ありません。それだったら、はやくKitKat
の配信をしてくれよっていう・・・。
Googleの目論みとしては、1年以上前のKitKat
(Android4.4)リリース時にJellyBean
の抱えていたWebViewの脆弱性について修正を行っているから、OEMメーカーがその修正を現行の各JellyBean
端末へ適用すれば、結果として誰も脆弱性を抱えたWebViewを使わない、もしくは1年以上時間が経過すれば各端末にはすっかりKitKat
が配信されているから問題ないよねという感じなのでしょう。
残念なことにそうはなりませんでした。
Google的には今回の件を踏まえ、Lollipop
からはWebViewをOSから切り離してGooglePlayで提供する形にしたのでパッチの対応と配信の問題はLollipop
以降のOSでは解決されそうです。
というわけで
現状、JellyBean
以下についてはOEMメーカに対応が委ねられている状態ですけど、あまり期待できそうにありません。
とりあえず、自分の使っている端末がJellyBean
以下だったら下記の対応をするに限ります。
- ブラウザはChromeかFireFoxを使う
- WebView使っているアプリについては自分が信頼できるものだけ使う
- Facebookアプリ等はビルトインブラウザの利用を切って、ブラウザを選べるようにしておく
Lollipop
から脆弱性対応とその配信問題についてはGooglePlay経由で行うので、Lollipop
以降のOSから現状のような辛い状況は避けられそうですけど、未だにKitKat
の端末が全体の4割という現状を鑑みるとLollipop
が主流になってこのWebVIew関連の抜本的な改善の恩恵をAndroidユーザが等しく受けるにはまだまだ時間がかかりそうですね。
結論
Lollipop
こそが至高
Lollipop
からこそがAndroid