グーグル、OS バージョン Android 4.3 Jelly Bean 以前の WebView コンポーネント脆弱性修正パッチ提供打ち切りとの情報

Filed in Topic - トピック 5 comments

Google, Jelly Bean previous WebView support finish ?

グーグル、Android 4.3 Jelly Bean 以前のバージョンに対して、WebView 脆弱性修正などのサポートが行われない可能性。最新バージョンの1つ前までがサポートとなり、世界中で利用されている Android 端末の約9億台あまりに脆弱性が発生する場合も。

「WebView」とは Web ページを表示するためのプログラムです。 多くのアプリケーションで Web 表示に使用されていますが、外部プログラムとの連携や使用頻度が多い部分だけに、脆弱性が発見されやすい部分となっています。

脆弱性検証ツール「Metasploit」を提供する Rapid7 のブログにて報じられた情報で、同社がグーグルに対し Android 4.3 以前の WebView 脆弱性を報告を起こったが、Android 4.4 よりも前のバージョンの脆弱性に関しては、修正パッチを開発しないとの返答を受けたとしています。

グーグルでは Android OS サポートに関しての公式なアナウンスは行なっていせん。Windows OS を提供しているマイクロソフトなどは、サポート期間やパッチ情報などを詳細に案内していますが、OS サポートに関してはアップルなども iOS に関してのサポート期間を明記しておらず、マイクロソフトのサポートが手厚いことが認識される事態に。

Rapid7 では、グーグルへの問い合わせで、Android OS に関してのサポートは最新バージョンの1つ前までが対象になることが判明したとしており、2015年1月の時点だと最新バージョン Android 5.0 Lollipop と Android 4.4 KitKat の2つが対象になる計算です。(※ Raipd7 が確認した事項でグーグルからの公式アナウンスはされていません。)

※ 注意
グーグルは OS サポートを終了するなどや、2世代前までがサポート対象になるという公式なアナウンスならびに技術資料はありません。あくまで Raipd7 が確認したとしている事項です。Android は OSS (オープンソース) なので、端末やサービスに関しては本来、販売メーカーやキャリアに責任が発生します。

尚、WebView は最新バージョン Android 5.0 Lollipop より OS から切り離されて独立したものとなっており、Google Play ストアからアップデートされる仕組みになっています。Android 4.4 KitKat 以前は OS に組み込まれたコンポーネントで、OS バージョンアップに修正パッチが含まれていました。

今回の WebView サポートに関してのニュースは OS のサポートに関して不安視させる材料となっています。今回のサポート体制が確立されたものになると Android OS のバージョンは毎年上がっているため、早いと2年未満でサポート対象外となります。

端末メーカーは最新 OS バージョンを搭載してスマートフォンを発売する事は少なく、1つ前の安定バージョンモデルとして端末を発売することが殆どです。また、キャリア経由で販売された製品などは、独自カスタマイズが行われており OS バージョンアップが困難な事も多々あります。

特に、日本で発売されるスマートフォンの多くは通信キャリアから販売されるため、2年縛りという契約上で端末価格や、月額料金の割引が行われています。発売時、既に最新より1世代前の OS だったり、OS バージョンアップが非常に遅い傾向になります。アプリそのものも最新 OS に対応してないことも多いです。

端末メーカーや通信キャリアは今後これらのリスクを背負いつつも Android 端末の販売を行わなければならなくなる可能性があります。また、エンタープライズ向けの製品に関してはサポートという部分関してはサービスの継続に関わるため、Android の独自カスタマイズを避けることでリスクを回避、または、最新バージョンに迅速に対応できる応用力が求められる可能性が出てきます。

2015年1月5日時点で、Android 4.3 以前の OS バージョン利用者は世界で約9億台ほど、割合でいうと60パーセントがまだ 4.3 以前との資料がグーグルから出されています。メーカーやキャリアにとって OS のバージョンアップは課題となっています。

余談ですが、WebView などの脆弱性に関しては、アプリ開発者同士では結構共有されているようです。そのため、標準ブラウザーを使用しないなどの回避策がとられる事も。但し、悪意のあるアプリやサービスなどに対しては無力なので、メーカーやキャリアが責任をもって修正してくれることを祈るばかりです。

Metasploit Blog – Rapid7 SecrityStreet
https://community.rapid7.com/community/metasploit/blog/2015/01/11/




Posted by GPad   @   2015年1月14日 水曜日 5 comments
Tags : , ,

5 Comments

Comments
1月 14, 2015
12:32
#1 匿名 :

正直、最新バージョンのが不具合盛りだくさんな件。

1月 14, 2015
12:33
#2 匿名 :

国内スマホなんて8割強が4.3だろ(;´∀`)

1月 15, 2015
14:52
#3 匿名 :

Gpadさん以外のとこだとOSそのもののサポートが終了みたいな言い方になってますな。他のサイトはソースよく読んでないのかも?そもそもAndroidはOSSなんだからマイクロソフトみたいなサポートを求めること事態が間違ってるんですよね。

1月 16, 2015
07:24
#4 匿名 :

日本のベンダーもセキュリティパッチについてそろそろ真面目に考えて欲しい

1月 16, 2015
12:16
#5 匿名 :

全部ネクサスみたいにしちゃえばいいのにw

Leave a Comment

名前 (Name) が空欄だと「匿名」になり、コメント反映に時間がかかります。名前を入れると投稿後もコメントの編集や削除が可能です。Email は入力しても表示されません。コメントは1度の投稿で【300文字】までとなります。

Previous Post
«
Next Post
»