Android 4.3 Jelly Bean以下のWebViewに対するアップデートを今後提供しないというグーグルの方針が明らかになったことで大きな話題となりましたが、この件に関してグーグルが正式にコメントを出しました。
AndroidのWebViewに関するこれまでの経緯
グーグルの正式なコメントを紹介する前にこの話題に関して当ブログで取り上げていなかったのでザックリまとめておきます。
脆弱性管理企業のRapid 7がWebViewに関する脆弱性をグーグルに報告したところ、グーグルから「WebViewに関する脆弱性の対象がAndroid 4.3以前となる場合、基本的にはパッチを開発することはないが、パッチと報告は検討材料として受け付ける。また、パッチが提供されない場合はOEMに通知すること以外にすることはない」という返答があったそうです。
However, after receiving a report of a new vulnerability in pre-4.4 WebView, the incident handlers at security@android.com responded with this:
引用元:Metasploit: Google No Longer Provides Patches f… | SecurityStreet
If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.
WebViewって何?:これはウェブブラウザの機能を持つ部品で、これを利用することでアプリの開発者が容易にブラウザアプリを開発したり、Twitterのクライアントアプリに内蔵ブラウザを実装することができるというものです。
つまり、Androidユーザーが最も触れるブラウザのサポートをグーグルが放棄するという方針が明らかになったというわけです。
ちなみに、ブラウザの部品はバージョンごとに実装が異なっており、Android 4.4 KitKat以降ではChromiumベースのChrome WebViewとなりました。そのため、Android 4.4以降の端末には今回の問題は関係ありません。
WebViewの修正は現実的ではないと判断し、サポートを中止
9億台のAndroidに影響があると報じられたことで世界中で大きな話題となったことも影響したのか、この件に関してグーグルが正式にコメントを発表しました。
結論としては、やはりグーグルがWebViewに関する脆弱性を今後修正することはないそうです。
こういう判断に至った経緯としては、これまでは、Android 4.3以前のWebKitを修正してきたものの、何百もの開発者によって、毎月、何千もの修正が行われたことで、WebViewは大規模なものになっており、それに対して安全に修正し続けるのは現実的ではないと判断したとのこと。
Until recently we have also provided backports for the version of WebKit that is used by Webview on Android 4.3 and earlier. But WebKit alone is over 5 million lines of code and hundreds of developers are adding thousands of new commits every month, so in some instances applying vulnerability patches to a 2+ year old branch of WebKit required changes to significant portions of the code and was no longer practical to do safely.
引用元:Following public discussion of vulnerabilities in versions of Webkit last week,…
9億台の脆弱性が放置されるということで事態は深刻そうですが、これまでにグーグルが修正した箇所をメーカーが逐一取り込んで、キャリアを介してアップデートを提供していたのかはわかりません。もし、アップデートの提供がなかったのであれば、以前からも脆弱性は放置されており、今回の件をキッカケに表面化しただけの話です。
グーグルは、頻繁にセキュリティアップデートが行われているChromeやFirefoxを利用することを薦めていますが、WebViewで実装されたアプリ内蔵のブラウザを利用している人もかなりいるはず。Androidのアプリ間連携機能(インテント)が優れているとはいえ、利便性が損なわれることは間違いありません。
ユーザーが今できる事としては、グーグルの言うとおりにChromeやFirefoxを利用し、アプリ内に実装されたブラウザも利用しないということ。また、次に購入する端末をAndroid 4.4以降(できればAndroid 5.0)の機種にすることぐらいでしょうか。
コメントを残す