Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ 167
ストーリー by hylom
4.3以前は終了のお知らせ? 部門より
4.3以前は終了のお知らせ? 部門より
GoogleがAndroid 4.4よりも前のバージョンのAndroidについて、そのサポートを終了しているのではないかという話が報じられている(ITmedia)。
あるセキュリティエンジニアがGoogleにAndroid 4.3以前のWebViewに含まれる脆弱性を報告したところ、「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない」との返答があったという。
GoogleはAndroidのサポート期間について公表していないが、この返答からGoogleが現在サポート対象としているのはAndroid 5.0(Lolipop)と4.4(KitKat)のみではないかと指摘されている。なお、Android 4.3以前が使われている端末は世界で9億3000万台以上存在するという。
日本では (スコア:5, すばらしい洞察)
パッチが出てもキャリアからのサポートが無いので結局アップデートは出来ないパターン
Re: (スコア:0)
だからGoogleもサポートしなくてもいいよねとなってるパターン。
# 機種変更の平均頻度って今どれくらいなんだろう...3年くらい?
Re: (スコア:0)
Android端末は悪さし放題☆
ってのは、あながちウソじゃない状態になるんだな…。
Re: (スコア:0)
意味がわからんw
古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的)安全 (スコア:5, 参考になる)
※長文を読みたくない方は、太字の部分のみ読んで下さい。
Android の脆弱性にも色々ありますが、現実的に最も危険で注意すべきなのは WebView の脆弱性 [jvn.jp] です。悪意のあるアプリに関してはインストール時に注意すればある程度防げますが、Webページについては危険なコードを含まないページ以外にアクセスしないという運用は日常的にWebブラウジングをする環境においては事実上不可能だからです。WebView の脆弱性を突かれれば、悪意のあるコードを含む Webサイトを表示しただけで、アドレス帳等の個人情報が流出したり、SMSでスパムを送信させられたりする恐れがあります。
私が今使っている docomo の P-02E [wikipedia.org] は、発売からまだ2年経っていませんが Android 4.12 より新しいバージョンにすることができません。従って、2年毎にスマホを買い替えていれば安全というのは誤りで、メーカー(この場合 Panasonic)が WebView の脆弱性への対策を含む最新の Android OS へのアップデータを公開しないケースが多いのです。根本的な対策は、脆弱性の無いバージョンのOSを搭載した端末に買い替えることです。しかし、希少資源を多く含むスマホを買い替えるのは資源の無駄ですし、お金が勿体無いので、脆弱性対策の為だけに買い替える気にならない人も多いでしょう。
現実的な対策は、メーカーによって Android OS のアップデーターが提供されない場合には OS同梱の Webview を利用してるブラウザを使用しないこと です。 標準ブラウザは当然駄目、Sleipnir も habit も Yahoo!ブラウザーも、その他ブラウザアプリの大半は危険なので駄目です。逆に、WebView の脆弱性に関して安全なブラウザは Android 用 Opera ブラウザ [google.com] や Firefox [google.com] です。Android 用 Opera ブラウザ [google.com] はブックマークの並び替えができるので個人的に大変気に入っています。10種類ぐらいの Android 用ブラウザを試しましたが、PCとの同期無しにブックマークの並び替えができるのは Opera だけでした。
勿論、Android 用 Opera ブラウザ [google.com] にも深刻な脆弱性 [nikkeibp.co.jp] が発見されることがありますので、ブラウザアプリのアップデートは必要です。また、SSL の実装に問題があるブラウザもありますので、その点も注意して下さい。SSL 関係の脆弱性があるかどうかは SSL Client Test [ssllabs.com] にアクセスすれば調査できます。
補足 (スコア:3)
(補足)
「WebView の脆弱性」という文字列に対して張ったリンク [jvn.jp]は、Android OS 3.0 ~ 4.1.x に存在する WebView の脆弱性についてのものであり、このトピックで話題となっている、あるセキュリティエンジニアが報告したとされる「GoogleにAndroid 4.3以前のWebViewに含まれる脆弱性」とは別物です。
誤解を招くようなリンクの張り方をしてしまい、すみませんでした。
Re:古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的 (スコア:3, 参考になる)
WebVewの脆弱性のページを見ると
「影響を受ける製品は、 以下の2011年夏~2012年冬の製品です。 」と書いてありますので、
2013年発売のP-02Eはバージョンは4.12のままでパッチが適用済みのようにも受け取れますが違うのですか?
ちょっとググったら塞がれているっぽい情報 [twitter.com]も見受けられましたが。
ブラウザだけで安全とするのは短慮 (スコア:2, 興味深い)
WebViewはブラウザだけで使用されるものではありません。
Webページを表示するようなわかりやすい用途だけではなく、
ゲーム、メーラ、電子書籍ビューア、その他様々なアプリで使用されています。実際これらをWebViewで開発したことがあります。
端末プリインストールのアプリにも、WebViewを使用している物はきっとあるでしょう。
このような状況でWebViewの脆弱性を回避する方法は、ユーザサイドの努力では不可能です。
プリインストールを含めてアプリを一切使用しない、という方法以外では。
「標準的ではないブラウザを使えば比較的安心」という元コメの主張は被害者を増やすだけです。
Re:ブラウザだけで安全とするのは短慮 (スコア:1)
不特定多数のサイトを読み込むRSSリーダーみたいなアプリならともかく、アプリ内で生成したHTMLを表示するだけのアプリにWebViewの脆弱性を突くHTMLを読み込ませられるケースなんて希だろ。
サーバ上のHTMLを表示するタイプのアプリも、アプリ自体が有害だったりサイトを乗っ取られたりしなければ問題は無く、有害アプリやサイト乗っ取りがあればWebViewに脆弱性が無くても十分危ない。
Re:古い Android OS でも 「Android 用 Opera ブラウザ」 なら (比較的 (スコア:1)
バ
カ
メ
WebViewを使うようなアプリは最初からダメ (スコア:2)
もともとアプリの中でHTMLを出力しようなどというのがすでに、ひどい間違いなのだ。ウェブアプリなのかネイティブアプリなのかはっきりせよ。ウェブを問題なく提供できるものなら最初からウェブオンリーでやればいい。
WebViewに限った話じゃないの? (スコア:2, すばらしい洞察)
WebViewは4.4から別物になったから4.3以前限定の脆弱性があるけど、その他の大抵の脆弱性は4.4以降にも共通して存在し、それらは4.3以前にも修正が提供されるのでは。
(実質的な)2年縛りがなくならない限り納得できない (スコア:1)
「実質○○円」(2年間使用料から値引き)、みたいなのを日本のキャリアではどこでもやっているが、それなら2年間は最低でもパッチの提供を続けろって言いたくなりますね・・・。Googleがサポート終了だとしても、キャリアレベルもしくはメーカーレベルで開発は「できなくはない」でしょ「オープンソース」なんだから。
技術力がなかったりメーカーが撤退してしまってたりといったいろいろな問題があるが・・・。
ちなみに私は撤退してしまったパナソニックのELUGA X P-02Eユーザー・・・。
Re:(実質的な)2年縛りがなくならない限り納得できない (スコア:1)
メジャーアップデートはなくてもセキュリティパッチは長期にわたって提供されていますが?
Re:(実質的な)2年縛りがなくならない限り納得できない (スコア:2, 興味深い)
こんな指摘もあるのに、キャリアがほとんどの機種の穴を塞いだなんて話は聞いたことがないが。
日本のユーザの多数が影響を受け、4.4へのアップグレードが問題の根本的解決方法という脆弱性。
http://www.itmedia.co.jp/enterprise/articles/1410/14/news140.html [itmedia.co.jp]
Re:(実質的な)2年縛りがなくならない限り納得できない (スコア:1)
一括払いでも「月々サポート」は適用されますけど?(ドコモの場合)
5.0からはAndroid System WebViewがあるけど。。。 (スコア:1)
5.0からはOSのアップデートしなくてもWebViewだけを更新できるように
Android System WebViewとして分離されましたね
でも4.4までの環境だとメーカーが提供してくれないとどうしようもない
そして4.3以下はメーカーがパッチ作成までしないといけない
自分でメンテできる自由のすばらしさ (スコア:1)
うん。Googleはメンテやめたかもしれない。
でもさ、一応全部じゃないけどソースあるわけよ。
自分たちである程度何とかすることができる。初代Galaxyだってがんばってる。
そのすばらしさというのは、/.Jの人たちならわかってくれるんじゃないかな。
え?ガラスマ?
知らんがな (´・ω・`) それは別の問題ということで。
FedoraCoreかな?と思ったけどFedoraなんて天地の差ほど優しい (スコア:1)
Fedora並のリリースサイクルとサポート期間、しかもFedoraのような汎用的Linuxと違って端末のベンダのサポートナシにはアップグレードも難しい…
Androidのなかのひとがたとえ一人残らずギークの腐ったような奴だったとしても客からの刺し殺されかねない空気は肌で感じると思うんだけどなぁ。
なんでこんなことに。
openDoe-Ming Ver.0.72.9beta
所詮Google (スコア:0)
こんな状態が続く限り、android端末をメインとしては使えない。
Re: (スコア:0)
まあそうなんだけど
XPとか7がこれからも幅効かせそうなところ見ると
気にする人 少なそう
Re:所詮Google (スコア:3)
今日マンガ喫茶に行ったら、PCがXPでした
まぁ世間じゃそんなもんですよね
Re: (スコア:0)
遠隔操作されて犯罪者になっても「そんなもん」で済むならどうぞ好きに使ってくださいな
Re: (スコア:0)
7はサポートがまだ続いているし、数年は大丈夫じゃない?
Re:所詮Google (スコア:3, 参考になる)
延長サポートも2020年までだから、今買っても余裕でOKだと思う。
AppleやGoogleのサポート切りは容赦ないので、MSは偉いと思う。
Re: (スコア:0)
ちなみにあなたの使う所詮じゃない所ってどこ?
Re:所詮Google (スコア:1)
それは当然、「Apple」ですが?
Re: (スコア:0)
捨てられたiOS6とか7とかどうなるんだろうね
Re: (スコア:0)
「古いOSを使ってる人が悪い」
こんな意見が返ってきそうです。。。
Re: (スコア:0)
appleはまだアップデートが提供されるだけAndroid機メーカーよりはましなんじゃ
AdobeやOracleよりは酷いような
Re:所詮Google (スコア:1)
>appleはまだアップデートが提供されるだけAndroid機メーカーよりはまし
アップデートの度に一部で阿鼻叫喚状態になってるし、そうとも言えないような。
Re:所詮Google (スコア:1)
そうかな?サポートしなくなったから動作しなくなるってわけじゃないんだし大半の人はそれで何が困るの?ってレベルだと思うけど。
Re: (スコア:0)
殆どの機種はアップグレード出来る訳だし、
それを捨てられたというのはちょっとナナメ上過ぎる。
Re:所詮Google (スコア:2)
具体的には?知人がよせばいいのに初代iPadを買ってiOS5止まりになってたりしたけど
あれでも2011年前半には販売終了なので既に終わった機種だし
iOS7迄というと2012年前半くらいに販売終了したiPhone 4くらいだったとおもいますが。
iPod touchは詳しくないのでどの世代がいつまでかよく知りません(Mactracker見れば載ってはいると思うけど)。
Re:所詮Google (スコア:3)
上に挙げた機種は販売終了から3年経過して事実上終わった機種(メーカのサポート中モデル [apple.com]とは別)だけど
Androidの場合いろいろなバージョンを積んだ機種がいろいろな時期に出てくるのでどれがOKでどれがNGなんだか…
Re:所詮Google (スコア:2)
なるほど。サポートが一ヶ所なのが全部同じベンダで提供するメリットですね。
あとは中華機種とかサポートがない(代わりに激安)というのが選べるのも多様性という意味ではメリットではあるけど…
傾向くらいはある程度揃えてほしいと思ったりもするけど、各メーカで気合いの入れ方も違うだろうし無理な願望かもしれません。
#結局元コメント [srad.jp]の人が言っていたのはどの機種の話だったのだろう
Re: (スコア:0)
なんだったらメインにできるんだろう?
iOSはバージョンアップ対象から外れればその時点でオシマイだから問題ないか。
下手に使えそうだからだめなんだなandroidは。
WindowsPhone最強じゃね? (スコア:0)
サポート期間とキャリアが縛っている期間が一致してるから縛られている間は必ずパッチが提供されるという
Re:WindowsPhone最強じゃね? (スコア:1)
もしWindowsPhoneが発売されるなら、それに乗り換えるのが一番いいかもしれない。
猫も杓子もiPhoneみたいになってる日本ではキャリアが発売するかどうかも怪しいですが……
#10年前には「サポート面ではマイクロソフトが一番マシ」なんて話がソフトウェア関係で出てくるとは思わなかったw
#ハードウェア面は昔からサポートが手厚かったですね。(X-BOX除く)
ψアレゲな事を真面目にやることこそアレゲだと思う。
なるほど、合点がいった (スコア:1)
そして、それこそが
メーカーがWindows Phoneを作りたがらない理由そのものなんですね?
Re: (スコア:0)
パッチのために電話を買う状態になりかねないかも。
サポートが続いたとして未来がその先に有るのか?と言われると厳しいOSかもね。
Windows CEとか見てるとサービス向上どころか爆散した感じだったし。
Firefoxとかの方がジワジワ更新してくれそう。(勝手なイメージ)
Re:WindowsPhone最強じゃね? (スコア:1)
Windows Phoneではサポート中のOSを積んだすべての端末が必ずアップデートされるよ
OSとハードがPCみたいに切れてるわけじゃないからメーカーに圧力をかけてやらせるだけだけど
Re: (スコア:0)
>パッチのために電話を買う状態になりかねないかも。
これどういう意味かわからないだが。
Re:WindowsPhone最強じゃね? (スコア:1)
>>パッチのために電話を買う状態になりかねないかも。
>
>これどういう意味かわからないだが。
新しい(セキュアな)OSを使うために、サポート切れの端末から乗り換えるって事かと。
つまりジョブズが生み出したメソッド「直近2世代限定サポート」の事かと。
Re:WindowsPhone最強じゃね? (スコア:1)
いや、でも真面目な話アップデートが全くできないよりはそっちのほうがずっといいです。個人的には。
実際にやる・やりたいと思うかは別として、そういう手段が用意されているというだけでも大きな違いです。
Support LibraryにChromeベースWebViewを入れるべき (スコア:0)
残念ながら、現段階で4.4や5.0へのアップグレードが用意されていない
端末には、今後も端末メーカーからアップグレードが提供される望みはないと思う。
だからGoogleが4.3向けにWebViewのパッチを用意したとしても、
ユーザの手元に届く可能性は少ない。
一方、既存OS上で動くアプリが新OSの一部機能を利用するために
アプリ開発者に対してSupport Libraryが配布されている。これにChrome
ベースのWebViewコンポーネントを含めるべきだ。
そうすればアプリケーションレベルでOS側のWebViewの脆弱性を回避できる。
Re:Support LibraryにChromeベースWebViewを入れるべき (スコア:3)
勘違いされているようなので書きます。
4.4での変更で困るのは「ファイルマネージャ」など、
「他のアプリのSD上のファイル・ディレクトリ」を扱うアプリです。
これは、4.4に対応しても、OSの制限によりファイルを扱えなくなるからです。
「ファイルを管理できないファイルマネージャ」に意味はないですので。
これの回避策として、「ファイルマネージャをシステムアプリとして組み込む」というベンダもあります。
が、ユーザが好きなファイルマネージャを使えないのは変わらない訳です。
Re:iOS (スコア:1)
Apple的には、OSは無料なんだから最新にアップデートしろ、というスタンスなので古いOSはサポートしないはず。
OSのサポート切れじゃなくて、端末のサポート切れ、がApple的には正しいかと。
Mac OSは古いOSも多少メンテされるが、こちらも無料だからさっさとアップデートしろ、という感じ。
iOS8でいうと、3年前に発売した製品までサポート。
Re:シングルバイナリ配布にできないの? (スコア:1)
メーカーやキャリアが、アップデートは自分で責任を持つから改良させてくれといっている限り
基本的にオープンなOSとして提供するGoogleに拒否する事は難しいかと。
Re:シングルバイナリ配布にできないの? (スコア:1)
責任持ってねーじゃん