先週こんな記事がネットを駆け巡っていたのはご存知かと思います。
http://www.itmedia.co.jp/news/articles/1501/13/news113.html
Rapid7の研究者によると、GoogleはAndroid 4.3(Jelly Bean)までのバージョンについて、WebViewの脆弱性修正パッチの提供を打ち切った。
斜め読みをすると、Android4.3までのWebViewの脆弱性に対するのサポートを打ち切った、それは全世界で利用されるAndroid端末9億台に影響するもので、これにより脆弱性を突かれた攻撃の格好の標的になりかねない、というものです。
こ『WebViewの』というとても大事なキーワードが抜け落ちた状態の「脆弱性」だけがひとり歩きし、もうAndroid4.4(kitkat)とAndroid5.0(Lolipop)のみしかサポートされない、という自体が発生した模様です。
※本考察は残念なウェブとAndroid、「古いAndroidのサポート終了」という誤解が広まる その真相とは | アプリオを参考に個人的見解を含め、まとめてみました。
WebViewとは
WebViewとは、アプリ内でWebページを表示したい場合に使われるGUI(グラフィカルユーザインターフェース)コンポーネントで、アプリからwebにアクセスして情報を取得したりするもので、通信が必要な状態(オンラインアクセス)アプリはこのWebViewを用いています。FacebookやTwitterクライアント、Smartnewsなどももちろんそうです。
要はアプリ開発をする上で(ほぼ)利用される技術のため、ユーザが気をつけるとかそういうレベルのものではないのです。
ここに脆弱性があるとユーザは何も意識せずアプリを使っている時、悪意あるプログラムが仕込まれたサイトにアプリ経由でアクセスしたときにいろいろ問題が出ることもある、というようにド素人的に理解しました。(違ってたらゴメンナサイ)
セキュリティパッチが出ないとどうなるの?
たぶん何も問題ないと思います。
というのも、よく考えてみるとこれまでAndroid OSのセキュリティ絡みでキャリアモデルのOSアップデート(ファームアップデート)ってありましたっけ?ということ。
NEXUSシリーズは最新OSでもAndroid 5.0→ 5.0.1→ 5.0.2と変更内容は明らかにされていませんが、バグ修正のアップデートはされています。
しかし、キャリアモデルにおけるファームウェアアップデートはハードウェア固有の不具合を解消することが大多数であり、確かにOSアップデートはありましたが、どちらかと言えば「機能向上」という位置付けだったと思います。(もちろん既知のバグ修正もされた上でのことですが)
ですので、一部では大騒ぎっぽい個人投資家ブログなども大いに参照されていたようですが、私個人的には特に気にしなくて良いのではないかと思います。
キャリアに望むこと
とはいえ、グローバル展開するメーカー、例えばソニーモバイル(Xperia)の日本のキャリアモデルにおけるアップデートはキャリア側の商売上の都合でアップデートが見送られることも多数あります。これはぜひとも止めて頂きたい。
せっかくソニーモバイル側が「良かれ」と思ってOSアップデートを提供しても、日本のキャリアモデルを利用するユーザには届きません。
ユーザから「最新しないといけないの?」に対して「なぜ最新化されるのか?」をユーザに十分理解してもらえるよう啓蒙すべきですし、それをきちんと提供すべきです。
もしキャリアが「機種が多すぎてサポートしきれない」とでも言うのなら、モデルチェンジの間隔を広げモデル数を絞る、キャリアは本来すべきキャリアの業務に特化して端末販売を止める、そのくらいの潔い対応をして欲しいものです。(キャリアは「土管屋」に徹せよ!!ということ)
しかしメーカーにとってはキャリアは「お客様」であり、数万台という台数を一括で契約して頂ける「上得意様」なので、土管屋に徹されるとこれまでの販売台数を自社(メーカー)で販路を見出さねばならなくなるため、現実的ではないのは承知のうえで吠えてみましたよw
今回の件は対象台数が9億台という規模だったこともあり、一時期大騒ぎになりました。これまでにも2回ほど同じような「億台」に影響する脆弱性に関する発表がありましたが、いずれもキャリアにパッチを提供したこともあって大きな問題にはなりませんでした。(そのパッチ「だけ」の提供を受けた記憶はなく、きっと何かのアップデートと混ぜこぜで提供されたような気がします)
- Master Key脆弱性(2013年):Android 1.6以降の当時9億台近いデバイスに影響
グーグル、「Android」の脆弱性問題でOEM各社に修正をリリース – CNET Japan - Fake ID脆弱性(2014年):Android 2.1以降の当時約82%のデバイスに影響
Androidの脆弱性「Fake ID」の危険性 | トレンドマイクロ セキュリティブログ
今回の事象に関してGoogleからも正式な発表があったわけではないようですし、ましてや日本のキャリアから発表や対応などは一切ないと思います。(逆に考えればその程度の問題だ、ということにもなりますよね?^^;)