bubble bubble2 google-plus facebook facebook2 twitter instagram twitter2 cart

グーグル、AndroidのWebViewに関するサポート問題について公式コメント

スマホとタブレットのセキュリティ

グーグル、AndroidのWebViewに関するサポート問題について公式コメント

Android 4.3 Jelly Bean以下のWebViewに対するアップデートを今後提供しないというグーグルの方針が明らかになったことで大きな話題となりましたが、この件に関してグーグルが正式にコメントを出しました。

AndroidのWebViewに関するこれまでの経緯

グーグルの正式なコメントを紹介する前にこの話題に関して当ブログで取り上げていなかったのでザックリまとめておきます。

脆弱性管理企業のRapid 7がWebViewに関する脆弱性をグーグルに報告したところ、グーグルから「WebViewに関する脆弱性の対象がAndroid 4.3以前となる場合、基本的にはパッチを開発することはないが、パッチと報告は検討材料として受け付ける。また、パッチが提供されない場合はOEMに通知すること以外にすることはない」という返答があったそうです。

However, after receiving a report of a new vulnerability in pre-4.4 WebView, the incident handlers at [email protected] responded with this:
If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.

引用元:Metasploit: Google No Longer Provides Patches f… | SecurityStreet

WebViewって何?:これはウェブブラウザの機能を持つ部品で、これを利用することでアプリの開発者が容易にブラウザアプリを開発したり、Twitterのクライアントアプリに内蔵ブラウザを実装することができるというものです。

つまり、Androidユーザーが最も触れるブラウザのサポートをグーグルが放棄するという方針が明らかになったというわけです。

ちなみに、ブラウザの部品はバージョンごとに実装が異なっており、Android 4.4 KitKat以降ではChromiumベースのChrome WebViewとなりました。そのため、Android 4.4以降の端末には今回の問題は関係ありません。

WebViewの修正は現実的ではないと判断し、サポートを中止

9億台のAndroidに影響があると報じられたことで世界中で大きな話題となったことも影響したのか、この件に関してグーグルが正式にコメントを発表しました。

結論としては、やはりグーグルがWebViewに関する脆弱性を今後修正することはないそうです。

こういう判断に至った経緯としては、これまでは、Android 4.3以前のWebKitを修正してきたものの、何百もの開発者によって、毎月、何千もの修正が行われたことで、WebViewは大規模なものになっており、それに対して安全に修正し続けるのは現実的ではないと判断したとのこと。

Until recently we have also provided backports for the version of WebKit that is used by Webview on Android 4.3 and earlier. But WebKit alone is over 5 million lines of code and hundreds of developers are adding thousands of new commits every month, so in some instances applying vulnerability patches to a 2+ year old branch of WebKit required changes to significant portions of the code and was no longer practical to do safely.

引用元:Following public discussion of vulnerabilities in versions of Webkit last week,…

9億台の脆弱性が放置されるということで事態は深刻そうですが、これまでにグーグルが修正した箇所をメーカーが逐一取り込んで、キャリアを介してアップデートを提供していたのかはわかりません。もし、アップデートの提供がなかったのであれば、以前からも脆弱性は放置されており、今回の件をキッカケに表面化しただけの話です。

グーグルは、頻繁にセキュリティアップデートが行われているChromeやFirefoxを利用することを薦めていますが、WebViewで実装されたアプリ内蔵のブラウザを利用している人もかなりいるはず。Androidのアプリ間連携機能(インテント)が優れているとはいえ、利便性が損なわれることは間違いありません。

ユーザーが今できる事としては、グーグルの言うとおりにChromeやFirefoxを利用し、アプリ内に実装されたブラウザも利用しないということ。また、次に購入する端末をAndroid 4.4以降(できればAndroid 5.0)の機種にすることぐらいでしょうか。

コメントを残す(承認後に表示されます)

(任意)
(任意)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

プロフィールアイコン

Yusuke Sakakura

iPhone・Androidやスマートスピーカーに関するニュースはもちろん、レビューも届けるブログメディア「携帯総合研究所」主宰。元システムエンジニア、iPhoneの料金を3社間で比較できるシミュレーターの開発も

Latest新着記事

Pixel/Nexusの噂・最新情報

2018/09/26
Pixel 3の純正ワイヤレス充電器「Pixel Stand」が流出。18Wの高速充電に対応か

Pixel/Nexusの噂・最新情報

2018/09/26
「Pixel 3」の噂まとめ 発売日・発表日・価格・スペックなど

災害情報

2018/09/26
Wi2、災害用無料Wi-Fi「00000JAPAN」を安全に利用できるVPNを無償提供

iPhone XS / XS Max

2018/09/26
iPhone XS、ワイヤレス充電が高速化。フル充電までの時間が30分短縮
Recommendこんな記事も読まれています