先日報道されたAndroid 4.3以前のバージョンに対して、WebViewのパッチの配布を終了すると
いう報道以来色々有りましたが、私なりに総括してみたいなと思います。
「Android 4.3」以前の標準ブラウザに存在する脆弱性、パッチ提供なし ~ ZDNet Japan
モバイルOS「Android」の古いバージョンを搭載するスマートフォンやタブレットのユーザー(全Androidユーザーの約60%)は、Googleが修正しないと決めたセキュリティ脆弱性にさらされ続けることになる。
「Android 4.3」(開発コード名:「Jelly Bean」)以前のバージョンの同モバイルOSに搭載されているデフォルト(ノーブランド)のウェブブラウザには、既知のセキュリティバグが存在するが、これに対するパッチは提供されないという。GoogleでAndroid担当セキュリティ責任者を務めるAdrian Ludwig氏が、米国時間1月23日付けのGoogle+の投稿で述べた。
残念なウェブとAndroid、「古いAndroidのサポート終了」という誤解が広まる その真相とは ~ appllio
ここ数日、Android 4.3 Jelly Bean以前のOSを搭載した全てのスマートフォンのサポートが早々に打ち切られたという誤解が広まっています。そのきっかけになったのは、13日の以下の記事だと思われます。
・Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ - ITmedia ニュース
Google公式発表と情報元のブログには、バージョン4.3以前のAndroid OSのサポートを終了するという情報は見当たりません。しかし、3000回以上ツイートされた上記記事の内容は不正確ではないものの、記事タイトルが古いAndroidのサポートを全て終了させるかのような表現となっています。そのため、多くの読者が勘違いさせられてしまったようです。
勿論
私も「Android 4.3以前のOSへのWeb Viewのセキュリティーパッチの提供を終了すると
報じられる」というタイトルで記事にはしました。私はそれ以上でもそれ以下でもないと
思っていたのですが、どうも世間の反応がなかなかそんな感じではありません。
実態をよく分かっていない人が印象だけで繰り返し再燃させていたという感じ。
「旧OSのWebViewの部分のアップデートってそこまで騒ぐほど重要なの?」ってのが私の見解。
勿論私もWebViewのバグは怖いし、出来る限り早期に塞ぐべきだと思っています。
ウェブをうろうろしているだけでマルウエアを拾いまくったり、情報を抜かれたり等はゴメンですから。
で、私が気になったのはその騒いでいる方々はどの程度知識をもって、こんな騒ぎ方をしている
のかって事。騒ぐなら当然現状がどうなのかや、対策の実態を当然知っていて当たり前ですよね
って事で再確認。
私のXperia GX(SO-04D)のWebViewの穴と思われるセキュリティーチェックをしてみます。
Android 4.1.2を搭載しているSO-04DのWebViewにはMasterkeyとFakeIDの穴が有ります。
これが長期間放置されています。Googleが4.1.2のコードに対してこのパッチを提供している
のか、していないのか少し調べただけでは分かりませんでした。
AOSPの方を調べれば分かったかもですが。
それはともかく、ソニーの段階かドコモの段階でSO-04DにはMasterkeyとFakeIDの穴を
塞ぐパッチは提供されていない訳です。
今回の騒動で騒いでいる人、このSO-04Dを初めとする4.1.2を搭載した端末で、長期に
この穴が放置されている件について誰か騒いでいましたっけ?Google側のサポートの
問題よりも、実際にこのセキュリティーホールが何時までも残っている事の方が問題でしょ。
今後有るか無いかの未知の穴に関してパッチが提供されない事よりも、今まで長期に
有った穴の方に対して何のされていない事の方が重要だと私は思うのですが、どうも
今回騒いでいる人達は旧来からある穴はどうでもいいように感じられます。
いや、単に放置されている事すら知らないだけじゃないでしょうか。
つまり「何も知らない人ほど端くれの情報だけ知って騒いでいるだけ」と。
私にはそう映っています。
勿論現実を知ればそんな馬鹿な事は言わないとは思いますが、だとすればきちんと現実を
知るべきです。今は情報過多の時代ですが、表面的な情報を舐める事ばかりで騒ぐ人が多く、
そうであってはいけないはずのプロのライターや記者までそれに乗っかっている始末。
私はこの件についての各報道の中で、以下の記事が一番真っ当で真実をきちんと伝えているな
と感じました。juggly.cnの記事です。
Google、Android 4.3以下のWebView問題について声明を発表 ~ juggly.cn
Google が Android 4.3(Jelly Bean)以下の WebView コンポーネントをアップデートしないと伝えられていた件で、Google の Adrian Ludwig 氏が自身の Google+ ページでその真相や経緯を公表しました。
同氏は投稿の中で、Jelly Bean に統合されている Webkit のブランチが 2 年以上も前に出来たものであり、数多くの開発者が 1 か月あたり数千ものコミットを行っている大規模なオープンソースプロジェクトからセキュリティパッチを統合することをもはや現実的ではないと判断し、Android 4.4 で Chromium に移行したことを明らかにしました。
Google は以前より Webkit にパッチが上がってくるとそれを AOSP にマージする作業を行うことで、端末メーカーらに対してセキュリティパッチを提供してきましたが、Android 5.0 でシステムから切り離したので、そのプロセスすらなくなっています。
Google がある意味でメーカーの代わりに行っていたことを止めたために、Jelly Bean 以下の端末のパッチ作業をメーカーが直接対応しなければならなくなっただけのことです。
まあぶっちゃけGoogleは、旧来のブラウザを使っていると危ないから「Chromeを使え」と。
旧OSに内包されているWebKit系のWebViewはもう使ってくれるなという見解を出しています。
まあ至極当たり前の事ですね。
ちなみに上記のAndroid 4.1.2のSO-04Dでセキュリティーホールが二つも放置されていた
ものを、最新のAndroid 5.0.2が提供されているNexus 7(2012)でテストしてみますと以下の
ような結果になります。
余裕で全部塞がれていますね。
右側にもあるように、「Android System WebView」としてアプリに分けて提供されている
新しいAndroid OS向けのWebViewは「Chromium WebView」でChrome 30がベースと
なっており、その後Chromeブラウザが進化するごとにChromium WebViewも進化して
います。もしかするとAndroid 5.x以上で動作するウェブブラウザは、Chromium WebViewを
内包せずに、Android OS向けに切り出されているものを利用するように改変されている
可能性も考えられます。
そこで私は思ったのですが、Android 4.3以前のバージョンに内包されているWebKit
ベースのWebViewに今後の不安が有るのですから、これを差し替える手段はないのか?
その実現方法として、OSに内包されているクラスライブラリを丸々常駐アプリで奪う事は
出来ないのかなとか考えてみました。勿論普通にそんな事が出来たらとても危険なんです
けど、Googleの強権発動でそういった権限が付与されたアプリが作れたりしないのかなとか
思ってみたりしました。
早い話、Android4.3以前のOS向けに、Android 5.x以降向けに提供が始まった
「Android System WebView」を提供できないかという事。
Android 4.3以前のアプリ向けの分は、WebViewのクラスを強引に差し替える処理を追加して、
OS内の元のWebViewクラスを殺し、追加提供された「Android System WebView」を強制的に
利用させるというものです。
今迄も「
Google Play開発者サービス」という形で、各種アプリに提供されるコアな
Googleのサービスをサービスアプリとして切り出したものが存在しました。
これは元々Android OSに内包されていたものでは有りませんが、配布に関しての
考え方は同じようなものですね。
もしGoogle側でWebViewを現在のWebKit版から最新のAndroid System WebViewに
差し替える為の矯正アプリを作って配布できるなら、旧Android OSのWebViewの
セキュリティーに関しては完全に解決できることになります。
GoogleがメーカーやキャリアのOSのアップデートの計画等に影響されずパッチしたものを
直接ユーザーに送り込めるわけですから、Android Oneの思想に近いように思います。
どうかGoogleはAndroid 5.xで確立したこの方法を旧OSにも適用できるようなアイデアを
絞り出して欲しいなって思いますが・・・どうでしょうか。
そもそも旧来のWebKit版のWebViewを利用している事によってセキュリティーに不安が
起こるという事ですが、WebKitを利用していたGoogleは、WebKitのバグ取りに一番貢献
していた企業でしたが、それをやめてWebKitから離れ、今はChromiumベースに移行しました。
という事は、WebKitのバグ取りの速度が急激に低下したことになります。
WebKitのセキュリティーは、GoogleがChromeブラウザやAndroid OSで利用している
からこそ一定の安全性が担保されていたはずです。Android 4.3以前の保守をやめた
から旧OSが危険だとか騒ぐのはいいのですが、WebKitのバグ取りも同じく停止して
いる現状を何とも思わない人が多いように思います。
アップルの利用しているブラウザやOSの全てでWebKitが利用されているわけで、
そのセキュリティー確保のレベルが落ちている事に誰も声を上げない。
Android 4.3以前のWebViewに深刻なセキュリティーホールが見つかったとすれば、
同時にアップルが使っているWebkitでも同じ穴が出てくる可能性が高いわけで、
MacOS上やiOSのWebKitで深刻な穴が存在する可能性が高くなります。
その場合でもChromiumベースに移行したAndroid 4.4以降やChromeブラウザ
には影響は当然有りませんが、アップル関連のWebKitを利用していて影響を
受ける可能性が有る端末数は、今後稼働数が減っていくだけのAndroid 4.3以前の
端末がどうのこうのと言っているレベルでは収まらない数字になると思っています。
WebKitは旧Androidや旧ブラウザだけで利用していたものではないという、
大原則を忘れて騒いでいる人が多過ぎるでしょう。
旧Androidが危険にさらされる事を持ち出すならば、未だにiOS8に上げない
人が3割以上いるiOSはどうなるのでしょうか。iOS7より前は当然ながらもう
新しいバージョンは出てきません。さすがに恥さらしのgoto fail;の時だけは
例外で一部古いOSの分まで出てきましたけど。
しかし未だに50件を下らないセキュリティーホールが公式にアップルから
通告されているiOS6以下を利用し続けている人もいれば、これまた多くの
穴が報告されているiOS7に留まり続ける人も居ます。
まるでそちらには問題が無いかのごとく騒ぐ理由も分かりません。
そこまで旧OSのサポートの事を騒ぐなら、iOS8に変える速度が遅い事も
もっと騒ぐべきでは?
しかも最新OSベースではアプリベースで提供するだけでしれっと穴がふさがる
Android 5.xに対して、OSのアップデートが絶対に必要なiOSでは配布までに
かかるチェックの行程数と配布して行きわたる迄の時間が圧倒的に違います。
アプリベースならば「端末の安定性は?」 「バッテリードレインは?」
「WiFiの繋がりや速度は?」なんて調べ物の質問や発言で溢れることは
有りませんしね。配布開始までも、配布開始してからの広がりも全く違うのです。
私はGoogleがWebKitベースのサポートをやめたがっている理由は痛いほど
わかりますし、それは叩かれる部分が有っても仕方ないと思っています。
但し騒いでいる側の知識が余りに無さ過ぎる事が透けて見えていて、とても
聞くに堪えませんでした。
Googleにも問題は有ります。WebViewのアーキテクチャの移行をする事は
いいのですが、それを旧来のOSでも何らかの対策を出来る方法を確立
しておくべきだったでしょう。先に書いた基本クラスライブラリの奪取による
入れ替えが出来たら最高なんですけどね。それを強制的にやってくれる
アップデーターを各メーカーやキャリアに配布するだけでもいいのですけど。
ICSまで対応できれば十分なんですけど、せめてJB辺りまでそういうものを
作って配布できないものですかね?
- 関連記事
-
- 2015/01/29(木) 20:45:41|
- 携帯
-
| トラックバック:0
-
| コメント:6
>strさん
食いつく人が少ないこのネタにレスを頂き有難うございます。
この記事を書く為に、各方面に相当時間をかけて調べていて、ここ最近では一番力を入れた記事になっていたりします(笑)
クラスライブラリの奪取方法は私の探す限りでは見当たらなかったので、Googleが隠しで何か仕組みを入れていない
限りは多分無理そうです。せめてJBだけでも配布すれば約半数のAndroidはすぐにでも危険から解放されるんですけどね。
>7SUXENさん
私の感触ではもっと「あほ」な人が記事を書いているかなって印象ですね。
iPhoneを持ち上げたいライターも勿論いるとは思いますが、同数程度「あほ」もいるような感触・・・。
現状世の中で動作している実機は全部安全と思い込んでいるように思えてなりません。
そもそもiPhoneだってJB出来る時点で「危険な穴」が有る事には分かりないという認識が
恐らくないんだろうな・・・ってぼんやり思ったりしています。
- URL |
- 2015/01/31(土) 01:47:41 |
- 鈴 #GpEwlVdw
- [ 編集]
