パスワードを忘れた? アカウント作成
11888007 story
Android

Google、Android 4.3のWebViewに対する脆弱性修正を行わなかった理由について説明 83

ストーリー by hylom
悪いのは誰だ 部門より
あるAnonymous Coward 曰く、

先日、GoogleがAndroid 4.3以前のサポートを中止するのではないか、という話が出た。発端はAndroid 4.3のWebViewに含まれる脆弱性について修正を行わなかったというものだが、これについてGoogleがその理由を語ったそうだ(SlashdotITmedia)。

これによると、AndroidのWebViewはAndroid 4.3以前ではWebKit、4.4以降ではChromiumベースの実装になっているという。そして、Android 4.3のWebViewは2年以上前のWebKitからフォークして独自に開発が加えられたものであるため、現在のWebKitに対するセキュリティ修正と言った新しい変更を加えにくくなっているのだという。

なお、本家記事では「GoogleはMicrosoftやAppleの解決されていない脆弱性を公表しているのに、Androidに対しては脆弱性を修正するリソースがないとしているのは興味深い」などと皮肉られている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年01月28日 13時29分 (#2751546)

    書こうと思った

    GoogleはMicrosoftやAppleの解決されていない脆弱性を公表しているのに、Androidに対しては脆弱性を修正するリソースがないとしているのは興味深い

    がストーリーに記載されていて出鼻をくじかれた感があります。

  • by Anonymous Coward on 2015年01月28日 14時09分 (#2751566)

    2年以上前のWebKitからフォークして独自に開発が加えられたWebKitベースのWebViewを殺して、ChromiumベースのWebViewに換装すれば良いじゃないか。
    代わりにFirefox他をインストールしろと云う話なのだから。
    容量上収まらない以外に理由はないだろう。

    • by 90 (35300) on 2015年01月28日 17時39分 (#2751732) 日記

      /dev/block/mtdblock3 on /system type yaffs2 (ro, noatime) は書き換えられないんですよ。フラッシュメモリ保護機構ちゃんどいてそいつ殺せない! dd なんかしてもむだです。
      まあ、2.1くらいの時に差分を書き換え可能領域に置けるようにするくらいの知恵が回ればよかったですよね。5.0ではめでたくWebKitも更新可能になったらしいですけど。

      親コメント
      • by Anonymous Coward

        FSやどのブロックデバイスに何を配置するかまでAndroidの仕様で定められてるわけじゃないでしょ?

        • by 90 (35300) on 2015年01月28日 19時46分 (#2751805) 日記

          どこに配置するかは定められていないし、書き換える方法も統一されていません。なので、実際に動いている機器の古いWebKitが更新できません。
          アプリが使うin-app browserはいつまでも脆弱な古いバージョンを使い続けることになります。

          親コメント
    • by Anonymous Coward

      WebViewの代わりに別のブラウザを入れても
      ブラウザを起動して使う分には回避できるが、アプリの中からWebViewを呼んでいる場合は回避にならないってこともあるからね。

      回避策としては駄目だね。
      というか、今後別のセキュリティ問題が出てきた時も対処しないってことだから、ブラウザだけの問題ではないんだよね。

  • by Anonymous Coward on 2015年01月28日 14時14分 (#2751569)

    誰が悪いの?

    1. 古いバージョンをメンテしないGoogle
    2. OSアップデートに消極的な通信キャリア
    3. OSアップデートに消極的な端末メーカー

    Appleも古いOSは切り捨てることが多いけど、端末のOSアップデートの期間は一部例外(iPad1など)を除いて3年以上はある。
    OSをアップデートしない自由はユーザーにあるから自己責任でどうぞ、って感じだろう。アップデートパスは用意してるんだから。

    でもAndroidの場合ユーザーはアップデートしたくてもできないのが現実。
    Googleが古いOSもメンテし続けろ、というのは簡単だが、メーカーが最新OS対応しなかったらGoogleに負担がかかるばかり。
    ここはGoogleがMSみたいにOSのサポート期間を公表しておくべきなんじゃないかな。
    そうすればアップデート対応しないメーカーの責任にできる。アップデートさせず買い換えろ、というメーカーからはユーザーが離れていくだろう。

    # SIMフリーやMVNOなどが増えてる現状では通信キャリアの責任は薄れてそうだけど、日本だとまだまだ強そうだ。

    • 脆弱性対策バージョン「Android 4.4」

      Googleとしては,Android 4.4にアップデートすれば良いじゃないか,という考えなんでしょうね

      親コメント
    • by Anonymous Coward on 2015年01月28日 14時25分 (#2751575)

      > 2. OSアップデートに消極的な通信キャリア

      OSアップデートところか、パッチが配布されるかどうか疑問。
      だからGoogleがサポート続けたところで、意味がないように思う。

      今でも持ってるJOJO Phone、たまに起動してるけどパッチが
      配布される気配が全くない。
      リリース直後はあった気がするけど……。

      > でもAndroidの場合ユーザーはアップデートしたくてもできないのが現実。

      同意なんだけど、厳密には「日本のキャリアから
      android端末を買ったら」だと思う。
      Google直販のNexusは、OSアップデートが配信されてる。
      日本のキャリアから端末を買うのは、リスクが大きいように思う。

      > ここはGoogleがMSみたいにOSのサポート期間を公表しておくべきなんじゃないかな。

      ほんとそれ。
      ubuntuだって、サポート期限やライフサイクルを公開してるのに……。
      公開しない理由は、一体何なのか……。

      親コメント
      • by Anonymous Coward

        >OSアップデートところか、パッチが配布されるかどうか疑問。
        今回の問題の修正についてはgoogleが「2年以上前のWebKitに安全にパッチを当てることは、もはや現実的ではない」と言ってさじを投げたのでどこからもパッチは出ないでしょう。

        • by Anonymous Coward

          今回の問題に限らず、日本の携帯キャリアは滅多にパッチを配信しない、という話です。
          発売直後は配信しているので、技術的に不可能なわけではないはずですが……。

          • ガラケー時代はインターネットに出ていかずに完結する専用のOTA機構があって、発売から5年程度は最短で半年に一回程度、数KBとかの"その他動作の安定性を向上"するようなものを深夜に受信して自動再起動してたらしいです。KDDIはIS01とかの初期のAndroid機にこれを載せてましたが、Androidの方も自前で同じものを持ってるので、こちらに切り替わっていきました。
            おそらくですが、ガラケー時代と違ってAndroidの差分更新はファイルも大きく変更内容が幅広いので、キャリアの社内ルール的に手間なのだと思われます。OSのメジャーバージョン更新をすると派生型としてマニュアル整備をしたりしているようなので、その辺の問題で更新を嫌がるのかな、と思います。

            まあ、こちらが嫌なので解約するんですけど。

            親コメント
      • by Anonymous Coward

        "日本のキャリア"と限定してるけど、海外のキャリアだとずっとアップデートしてくれるんですかね?
        どちらかというと、Google Nexusとかメーカーのグローバルモデルが特殊なだけな気がしますが。

    • by Anonymous Coward on 2015年01月28日 21時10分 (#2751856)

      Googleから買った"端末"のNexus7(2012)は発売から2年以上たってても5.0のアップデートが提供されたけど?
      それにGoogleの端末は発売から最低18ヶ月はアップデートするって名言してる。
      端末のサポート期間とOSの特定バージョンのサポート期間をごっちゃにしたらいかんと思うよ。
      iOSもiOS8リリース直後とかでない限りiOS7に脆弱性があった場合7に対してのパッチは提供されないよね?

      それにAndroid端末を作ってるメーカーはそれぞれカスタマイズしてる。それが原因でアップデートが難しいことが多いと思うけど、
      それをGoogleに面倒見ろというのは違うと思う。
      ただ、カスタマイズ可能ということで、いろいろなメーカーに採用させることによってiOSに対抗できる程になったのだから単に切り捨てるには難しい問題だよね

      親コメント
    • by Anonymous Coward on 2015年01月29日 1時03分 (#2751964)

      ・キャリアのサービスでwebviewに依存するもの
      ・第三者からパッチが提供されマージされた場合、キャリアの対応としてアップデートが配布(キャリアから端末メーカーへの
       アップデート配布要求など)される可能性は有るか、端末メーカーの判断となるか
      などキャリアに問い合わせたんですが、
      「当方で詳細を把握していないため、お問い合わせの件について明確なご案内ができかねます。」
      「また、Google社において、Android OSに関する正式な発表があった場合の対応に関しまして、現時点でご案内できる内容はございません。」
      だそうです。
      なおこの質問は夜に出したのですが、翌日の午前中に回答が来たので、こう答えろという指示が有るんじゃないかなあと思われます。
      ちょっとひねりを加えてもう一度質問する予定です。

      親コメント
    • Re: (スコア:0, おもしろおかしい)

      by Anonymous Coward

      あまり詳しくないのですが、Android は無料OSだと聞いた気がします。
      もし、無料だとしたら Google にはメンテする責任はないと思います。
      また、キャリア端末の販売方法から考えるとキャリアが責任をもつべき問題だと思います。

      • by Anonymous Coward

        もし、無料だとしたら Google にはメンテする責任はないと思います。

        どういう理屈?

      • by Anonymous Coward

        Android は無料でダウンロードできます。
        が、Google Mobile Services(Google Play)とかグーグルアプリを使うには0.7$程度のライセンス料金を払う必要があります。
        小さい会社とか大陸産のタブレットとかはライセンス料金を払っていなさそうですが。

        無料ならば責任はないというのでしたら、きちんと支払っている会社にはアップデートすべきではないでしょうか?

        • by Anonymous Coward

          と、金を少しでも払えば永久にサポートが受け続けられると思っている日本人が申しております。

        • by Anonymous Coward

          Androidを名乗るための最低要件ですよね。外したらAndroidを名乗れない。

        • by Anonymous Coward

          > 無料ならば責任はないというのでしたら、きちんと支払っている会社にはアップデートすべきではないでしょうか?

          つ 「android 4.4」

      • by Anonymous Coward

        IE、Firefox、Chrome他、全てパッチ当てない免罪符?

      • by Anonymous Coward

        > もし、無料だとしたら Google にはメンテする責任はないと思います。

        Mac OSX Yosemiteもメンテ不要、ついにWindowsも10でメンテ不要。
        クライアントOS 総メンテ不要時代の始まりですね!

      • by Anonymous Coward

        ここまでスラドにふさわしくないと思える人を見たのは……4人目です。

    • by Anonymous Coward
      1でしょうね。

      #他社OSの粗探しに人員を割く余裕があるなら自社OSのサポートにも人員回せよと
      • by Anonymous Coward

        そもそも、Android4.1、4.2、4.3なんてバージョン表記にするから、古いバージョンにもパッチを作れという話しになってしまう。
        これが、Android 4 update1、update2、update3(Fix Pack+多少の機能変更)という表記だったら端末メーカーの対応も変わりそう。
        それでも、特定脆弱性のためだけの個別パッチを作成しろという人もいるかもしれんが。

    • 4. 機種変更や買い換えに消極的なユーザー

    • by Anonymous Coward

      Android機器を選択したユーザー

    • by Anonymous Coward

      古いバージョンをメンテしないGoogle
      OSアップデートに消極的な通信キャリア
      OSアップデートに消極的な端末メーカー
      当事者じゃない自称情報強者

      買ったやつが阿呆って
      こぞって見捨てる対応なんかな

      契約した人はキャリアへリコール
      キャリアは端末メーカーへリコール
      (SIMなし端末購入者は端末メーカーまたは販売店へリコール)
      端末メーカーはGoogleを訴える
      って感じで
      それぞれ別で動けなええんでないかと

      キャリアや端末メーカーがGoogleから取れないとか
      一般消費者には関係ないものね

    • by Anonymous Coward

      > 誰が悪いの?
      ここでMSが悪いってことにするのが/.Jerの腕の見せどころでしょう。

      • by Anonymous Coward

        じゃあ、「XPのサポートをだらだら続けた上他のPC用Windowsもなんだかんだで10年くらいサポートし続けやがって、旧バージョンのOSもサポートし続けるべきという風潮を作ったMSが悪い。あと、セキュリティパッチも互換性確保に手間暇をかけたりせずに、90日以内にきびきびと配布すべき。」みたいに書けばおk?

        #Win10以降は機能追加をこまめにやる方針みたいだから、その辺の風潮も少し変わったりするのかな。
        ##企業向けに機能追加を止めるオプションも提供されるらしいから、適当なところで「安定版」を作ったりするのかもしれないけど。

        • by Anonymous Coward

          10からはアップデートが無料になるので、家庭向けは5年になりそうですね。
          サポート伸ばしたいなら無料のメジャーアップデートをしてくださいって。
          古いのを長期間使いたい人は高額なビジネス版にアップグレードを。

      • いつも疑問に思うんだけど
        MS関係のストーリーだと必ず出てくる、XPは危険だ、ネットから切り離せと声高に煽る連中がAndroidやiOSでは全く現れないんだよね。
        Android 4.4以降に更新できない端末はネットから切り離したらどうでしょうか?スタンドアローンで使うといいよ。
        • by Anonymous Coward

          XPはMSがサポート期限を明示&ソフトランディングのために延長に次ぐ延長を繰り返したという事情がありますから。
          AndroidやiOSについては、GoogleやAppleがサポート期限の明示をするのが先ですね。

    • by Anonymous Coward

      たいていのキャリアが、端末の分割購入などで2年縛りをかけていることから、2年前のOSを「古いOS」とカテゴライズして放置する方針をGoogleは立てていると思われるけど、コンピュータのOSとしてならともかく、電話機のOSの寿命としてはどうかとも思う。
      端末の開発にはそれなりの時間がかかるから、常に端末メーカーが最新のOSを最新の端末に提供できるわけではない。それに既存の端末にすぐに最新のOSを提供できるわけではない。
      現にロリポップがそう。
      2年後にロリポップに脆弱性が発見された時、やはり「古いOS」として脆弱性修正をしないのだろうか?
      だとすると、ユーザーがロリポップのメンテを享受できる期間は、2年間ではなくそれ未満だということになる。
      やはり、2年間というサポート期間は短すぎないか。

  • by Anonymous Coward on 2015年01月28日 13時49分 (#2751556)

    バンバン公開していこうぜ!

    • by Anonymous Coward

      それで被害を被るのはエンドユーザーなんだよなあ。

      • by Anonymous Coward

        直す気のない脆弱性はさっさと公開してユーザーを追い出した方が良いでしょう。
        パッチの公開が遅れているのとは全く事情が違いますね。

  • by Anonymous Coward on 2015年01月28日 14時04分 (#2751563)

    商売でOSを配布している以上、責任を持って修正しろ。

    • by upken (38225) on 2015年01月28日 14時10分 (#2751567)

      商用ならばOSに限らずサポート期限まではメンテナンスしてほしい。

      親コメント
      • by Anonymous Coward

        商用じゃない(オープンソース、いわばコミュニティ版)し、サポート期限というものがそもそも存在しない。

        他でも書かれてるが、
        4.4という修正版を出してるから、あとはメーカーが悪い、ってことになるんじゃないかな。

        • by Anonymous Coward

          あなたが伝説のAOSP使いか。

    • by Anonymous Coward

      「ずいぶん昔にコピペしてきたコードだし、
       今はごっそり書き換えちゃったから、
       もういじる気が起きないんだよね~」

      使い捨てのWebサービスを次々ぶち上げることには達者でも
      むやみにOSに手を出していい性格ではなかったってことですね。

  • by Anonymous Coward on 2015年01月28日 14時08分 (#2751564)
    中韓と同列になっちゃうぞ~。
    • by Anonymous Coward

      中韓だけ取り上げるのもダブスタ臭いので、「ネトウヨ」、「米国」、並びに「朝日新聞」辺りも仲間にいれてあげて下さい。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...