パスワードを忘れた? アカウント作成
11870057 story
Android

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ 167

ストーリー by hylom
4.3以前は終了のお知らせ? 部門より

GoogleがAndroid 4.4よりも前のバージョンのAndroidについて、そのサポートを終了しているのではないかという話が報じられている(ITmedia)。

あるセキュリティエンジニアがGoogleにAndroid 4.3以前のWebViewに含まれる脆弱性を報告したところ、「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない」との返答があったという。

GoogleはAndroidのサポート期間について公表していないが、この返答からGoogleが現在サポート対象としているのはAndroid 5.0(Lolipop)と4.4(KitKat)のみではないかと指摘されている。なお、Android 4.3以前が使われている端末は世界で9億3000万台以上存在するという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 日本では (スコア:5, すばらしい洞察)

    by iwakuralain (33086) on 2015年01月14日 18時10分 (#2743408)

    パッチが出てもキャリアからのサポートが無いので結局アップデートは出来ないパターン

    • by Anonymous Coward

      だからGoogleもサポートしなくてもいいよねとなってるパターン。
      # 機種変更の平均頻度って今どれくらいなんだろう...3年くらい?

      • by Anonymous Coward

        Android端末は悪さし放題☆

        ってのは、あながちウソじゃない状態になるんだな…。

  • ※長文を読みたくない方は、太字の部分のみ読んで下さい

     Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。

     私が今使っている docomo の P-02E [wikipedia.org] は、発売からまだ2年経っていませんが Android 4.12 より新しいバージョンにすることができません。従って、2年毎にスマホを買い替えていれば安全というのは誤りで、メーカー(この場合 Panasonic)が WebView の脆弱性への対策を含む最新の Android OS へのアップデータを公開しないケースが多いのです。根本的な対策は、脆弱性の無いバージョンのOSを搭載した端末に買い替えることです。しかし、希少資源を多く含むスマホを買い替えるのは資源の無駄ですし、お金が勿体無いので、脆弱性対策の為だけに買い替える気にならない人も多いでしょう。

     現実的な対策は、メーカーによって Android OS のアップデーターが提供されない場合には OS同梱の Webview を利用してるブラウザを使用しないこと です。 標準ブラウザは当然駄目、Sleipnir も habit も Yahoo!ブラウザーも、その他ブラウザアプリの大半は危険なので駄目です。逆に、WebView の脆弱性に関して安全なブラウザは Android 用 Opera ブラウザ [google.com] や Firefox [google.com] ですAndroid 用 Opera ブラウザ [google.com] はブックマークの並び替えができるので個人的に大変気に入っています。10種類ぐらいの Android 用ブラウザを試しましたが、PCとの同期無しにブックマークの並び替えができるのは Opera だけでした。

     勿論、Android 用 Opera ブラウザ [google.com] にも深刻な脆弱性 [nikkeibp.co.jp] が発見されることがありますので、ブラウザアプリのアップデートは必要です。また、SSL の実装に問題があるブラウザもありますので、その点も注意して下さい。SSL 関係の脆弱性があるかどうかは SSL Client Test [ssllabs.com] にアクセスすれば調査できます。

    • by Printable is bad. (38668) on 2015年01月14日 21時16分 (#2743534)

      (補足)

      「WebView の脆弱性」という文字列に対して張ったリンク [jvn.jp]は、Android OS 3.0 ~ 4.1.x に存在する WebView の脆弱性についてのものであり、このトピックで話題となっている、あるセキュリティエンジニアが報告したとされる「GoogleにAndroid 4.3以前のWebViewに含まれる脆弱性」とは別物です。

      誤解を招くようなリンクの張り方をしてしまい、すみませんでした。

      親コメント
    • WebVewの脆弱性のページを見ると
      「影響を受ける製品は、 以下の2011年夏~2012年冬の製品です。 」と書いてありますので、
      2013年発売のP-02Eはバージョンは4.12のままでパッチが適用済みのようにも受け取れますが違うのですか?

      ちょっとググったら塞がれているっぽい情報 [twitter.com]も見受けられましたが。

      親コメント
    • by Anonymous Coward on 2015年01月15日 17時25分 (#2744013)

      WebViewはブラウザだけで使用されるものではありません。

      Webページを表示するようなわかりやすい用途だけではなく、
      ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。
      端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。

      このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。
      プリインストールを含めてアプリを一切使用しない、という方法以外では。

      「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。

      親コメント
      • by Anonymous Coward on 2015年01月16日 20時32分 (#2744722)

        不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。
        サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。

        親コメント
  • もともとアプリの中でHTMLを出力しようなどというのがすでに、ひどい間違いなのだ。ウェブアプリなのかネイティブアプリなのかはっきりせよ。ウェブを問題なく提供できるものなら最初からウェブオンリーでやればいい。

  • by Anonymous Coward on 2015年01月15日 21時40分 (#2744137)

    WebViewは4.4から別物になったから4.3以前限定の脆弱性があるけど、その他の大抵の脆弱性は4.4以降にも共通して存在し、それらは4.3以前にも修正が提供されるのでは。

  • 「実質○○円」(2年間使用料から値引き)、みたいなのを日本のキャリアではどこでもやっているが、それなら2年間は最低でもパッチの提供を続けろって言いたくなりますね・・・。Googleがサポート終了だとしても、キャリアレベルもしくはメーカーレベルで開発は「できなくはない」でしょ「オープンソース」なんだから。
    技術力がなかったりメーカーが撤退してしまってたりといったいろいろな問題があるが・・・。
    ちなみに私は撤退してしまったパナソニックのELUGA X P-02Eユーザー・・・。

  • by Anonymous Coward on 2015年01月14日 20時32分 (#2743510)

    5.0からはOSのアップデートしなくてもWebViewだけを更新できるように
    Android System WebViewとして分離されましたね

    でも4.4までの環境だとメーカーが提供してくれないとどうしようもない
    そして4.3以下はメーカーがパッチ作成までしないといけない

  • by Anonymous Coward on 2015年01月14日 23時50分 (#2743618)

    うん。Googleはメンテやめたかもしれない。
    でもさ、一応全部じゃないけどソースあるわけよ。
    自分たちである程度何とかすることができる。初代Galaxyだってがんばってる。
    そのすばらしさというのは、/.Jの人たちならわかってくれるんじゃないかな。

    え?ガラスマ?
    知らんがな (´・ω・`) それは別の問題ということで。

  • Fedora並のリリースサイクルとサポート期間、しかもFedoraのような汎用的Linuxと違って端末のベンダのサポートナシにはアップグレードも難しい…

    Androidのなかのひとがたとえ一人残らずギークの腐ったような奴だったとしても客からの刺し殺されかねない空気は肌で感じると思うんだけどなぁ。
    なんでこんなことに。

    --
    openDoe-Ming Ver.0.72.9beta
  • by Anonymous Coward on 2015年01月14日 18時31分 (#2743427)

    こんな状態が続く限り、android端末をメインとしては使えない。

    • by Anonymous Coward

      まあそうなんだけど
      XPとか7がこれからも幅効かせそうなところ見ると
      気にする人 少なそう

      • by t-wata (10969) on 2015年01月14日 19時04分 (#2743452) 日記

        今日マンガ喫茶に行ったら、PCがXPでした
        まぁ世間じゃそんなもんですよね

        親コメント
        • by Anonymous Coward

          遠隔操作されて犯罪者になっても「そんなもん」で済むならどうぞ好きに使ってくださいな

      • by Anonymous Coward

        7はサポートがまだ続いているし、数年は大丈夫じゃない?

    • by Anonymous Coward

      ちなみにあなたの使う所詮じゃない所ってどこ?

      • by Anonymous Coward on 2015年01月14日 18時47分 (#2743440)

        それは当然、「Apple」ですが?

        親コメント
        • by Anonymous Coward

          捨てられたiOS6とか7とかどうなるんだろうね

          • by Anonymous Coward

            「古いOSを使ってる人が悪い」

            こんな意見が返ってきそうです。。。

            • by Anonymous Coward

              appleはまだアップデートが提供されるだけAndroid機メーカーよりはましなんじゃ
              AdobeやOracleよりは酷いような

          • by Anonymous Coward

            殆どの機種はアップグレード出来る訳だし、
            それを捨てられたというのはちょっとナナメ上過ぎる。

    • by Anonymous Coward

      なんだったらメインにできるんだろう?

      iOSはバージョンアップ対象から外れればその時点でオシマイだから問題ないか。
      下手に使えそうだからだめなんだなandroidは。

  • by Anonymous Coward on 2015年01月14日 19時16分 (#2743464)

    サポート期間とキャリアが縛っている期間が一致してるから縛られている間は必ずパッチが提供されるという

    • もしWindowsPhoneが発売されるなら、それに乗り換えるのが一番いいかもしれない。
      猫も杓子もiPhoneみたいになってる日本ではキャリアが発売するかどうかも怪しいですが……

      #10年前には「サポート面ではマイクロソフトが一番マシ」なんて話がソフトウェア関係で出てくるとは思わなかったw
      #ハードウェア面は昔からサポートが手厚かったですね。(X-BOX除く)

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
    • by Anonymous Coward on 2015年01月16日 22時45分 (#2744784)

      そして、それこそが
      メーカーがWindows Phoneを作りたがらない理由そのものなんですね?

      親コメント
    • by Anonymous Coward

      パッチのために電話を買う状態になりかねないかも。

      サポートが続いたとして未来がその先に有るのか?と言われると厳しいOSかもね。
      Windows CEとか見てるとサービス向上どころか爆散した感じだったし。

      Firefoxとかの方がジワジワ更新してくれそう。(勝手なイメージ)

      • by Anonymous Coward on 2015年01月14日 19時36分 (#2743484)

        Windows Phoneではサポート中のOSを積んだすべての端末が必ずアップデートされるよ
        OSとハードがPCみたいに切れてるわけじゃないからメーカーに圧力をかけてやらせるだけだけど

        親コメント
      • by Anonymous Coward

        >パッチのために電話を買う状態になりかねないかも。

        これどういう意味かわからないだが。

        • by Anonymous Coward on 2015年01月14日 22時14分 (#2743559)

          >>パッチのために電話を買う状態になりかねないかも。

          >これどういう意味かわからないだが。

          新しい(セキュアな)OSを使うために、サポート切れの端末から乗り換えるって事かと。

          つまりジョブズが生み出したメソッド「直近2世代限定サポート」の事かと。

          親コメント
  • by Anonymous Coward on 2015年01月14日 19時20分 (#2743469)

    残念ながら、現段階で4.4や5.0へのアップグレードが用意されていない
    端末には、今後も端末メーカーからアップグレードが提供される望みはないと思う。
    だからGoogleが4.3向けにWebViewのパッチを用意したとしても、
    ユーザの手元に届く可能性は少ない。

    一方、既存OS上で動くアプリが新OSの一部機能を利用するために
    アプリ開発者に対してSupport Libraryが配布されている。これにChrome
    ベースのWebViewコンポーネントを含めるべきだ。
    そうすればアプリケーションレベルでOS側のWebViewの脆弱性を回避できる。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...