Androidは本当にオープンなのか [srad.jp] でも話題になったように、Googleは、端末メーカーと交わしているMADA(Mobile Application Distribution Agreement)という合意書(機密扱いだが訴訟の過程で明らかになった)で、ホーム画面に設置するアプリや検索エンジンなど、ありとあらゆる条件を押し付けています。従って、「デバイスメーカーは自由にAndroidを改変してあらゆる範囲の機能にカスタマイズできる」というGoogleの主張は大嘘であったことが判明しました。また、端末メーカーに対して端末ごとにライセンス料を課しているそうです。
といった訳で、GoogleはGoogle PlayストアなどのGoogleモバイルサービスを搭載した Android OS の導入に対して契約を要求している訳ですから、Android ブランドの信頼性を守るために、○年間はアップデートに対応しなければならないといった条項を含めることもできた訳です。従って、Google に責任があると思います。
あと、「Googleは脆弱性を修正したマイナーバージョンアップを提供している」というのは誤りで、単体で脆弱性の修正パッチを出さずに、脆弱性の修正と共にUI・デザイン・機能などを大幅に変えた後方互換がまるでない新しいバージョンのメジャーバージョンアップを提供しているにすぎません。例えるなら、Windows XP を Windows Update すると Windows 8 になるようなもの です。いや、Microsoft は従来のアプリがそのまま動くように最大限の配慮をしていますし(積極的に切り捨てようとする Google とは正反対)、Windows 8 にしたところで アプリからUSBメモリー(Android のSDカードに相当)への書き込みができなくなったりはしませんから、もっと酷いかもしれません。
現に、Android 4.4 でアプリからSDカードへの書き込みができなくなるなど、大幅な仕様変更が行われているわけです。また、後方互換性も不十分ですから今まで動いていたアプリが動かなくなることが多いです(Play ストアを見ると Android OS x.x.x に対応しました、みたいな更新が多いことからも分かります)。こんなのをそのまま端末メーカーが自働更新のアップデートとして配布したら、 docomo・au・SBショップへクレームが殺到しますから、現実的ではありません。
Google は、Android 4 シリーズのアップデートは、脆弱性とバグの修正だけに留めて、それを Android 4 の公開から5年ぐらいは維持していればよかったと思います。新しい機能とかデザインとかは Android 5 に組み込めば良かったんです。後方互換性をきちんと維持できており、UIや機能に変更がなければ、メーカーは最低限の検証だけで新しいバージョン(バグと脆弱性の修正のみ)をそのまま自動アップデートとして提供することができます。これで、問題は解決です。
Android 4.3 以前 を安全に使う方法 (スコア:5, 参考になる)
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(R7-2015-02: Google Play Store X-Frame-Options (XFO) Gaps Enable Android Remote Code Execution (RCE) [rapid7.com])。
脆弱性を回避して、Android 4.3 以前 を安全に使う為には、下記の対策を【全て】行わなければなりません。
Google 公表の統計データ(2015年2月24日~同年3月2日) [android.com]によると、脆弱性の影響を受けるバージョンの Android OS のシェアは、55.8%(先月だと 58.7%)にも及びます。それにもかかわらず、Google は今後 Android 4.3 以前の脆弱性を修正する気はない ようなので、世界の半数以上の Android ユーザーが危険に晒され続けることになります。このような Google の対応は、大変無責任ではないでしょうか?
Re:Android 4.3 以前 を安全に使う方法 (スコア:2)
WebViewが含まれてるアプリかどうか判別する手段がない。
ブラウザ以外でもローカルファイル表示するのに結構使ってたりするので、細工したファイルを読み込ませることができれば攻撃できる。理論的にはね。
というわけで、安全に使用する方法はない
Re: (スコア:0)
APKを解析するなりroot用ツールを使うなりすれば不可能でもない。
# まあrootがあるならWebViewをXposedで弄ったほうが早そうだが。
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
> Google の対応は、大変無責任ではないでしょうか?
大変無責任ではない。Googleは脆弱性を修正したバージョンを公開しているから。
問題なのは、メーカーやキャリアが修正したバージョンを配布しないことである。
(1) Googleのソースコード
↓
(2) メーカーやキャリアが独自にカスタマイズ
↓
(3) エンドユーザー
Googleが(2)をすっとばしてエンドユーザーに修正版を届けることはできない。
Google の対応が大変無責任ではないことがわかりましたか?
Re: (スコア:0)
でもメーカーやキャリアにとってカスタマイズしたものを新しいバージョン向けにもう一度作り直せというのも酷な話。
LTSみたいなものがあればまだ改善できる気もします。
Re: (スコア:0)
基本無理ゲーってことで理解した。
たしかにGoogleにも問題があるかもしれないが、4.X系としては4.4まで出してるのに各社が4系をアップデートしないのも大きい。
4系(というかAndroid全般)ってポイントリリースごとにそんな大きな差があるってこと?
4.0 -> 40.0
4.1 -> 41.0
とか読み替えた方がいいのかな?
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
4.0→4.1
4.3→4.4
この2つのアップデートの時に、仕様変更が大きいです。
# 4.1、4.2、4.3はどれもJelly Beanなので当たり前の話なんですが。
従って、4.0や4.3で放置されているスマホが多いと思います。
でも、Cyanogenmodなどのカスタムロムが大きな問題なく動作しているところを見ると、初期バージョンが4.xなら普通に4.4までアップデートできるはずなんですけどね。
動作検証が負担になるため、メーカー各社がアップデートしたがらないということなんでしょう。
Re:Android 4.3 以前 を安全に使う方法 (スコア:2)
少し前まではなんでマイナーアップデート位しないんだよ!って批判してたけど、
Android アプリを開発するようになって原因が分かった。
マイナーバージョンが変わっても Windows 2000 - > XP 位の差だろう?って思ってたんだけど
実際は、Windows Vista -> Windows 8 位の違いがあったでござる。
APIが非推奨になって削られたり、動作がかわったり、変数の引数が変わってたり、コンポーネントが別のコンポーネントに置き換わってたり
同梱してたアプリ、そのままコンパイルしなおせば動くってわけじゃないことが分かったよ…。
これは大変すぎる…。
|。・ω・) 。o ( もう、これは、Android 設計したGoogleが悪いに違いない )
Re: (スコア:0)
Jelly Beanの前後でUIが変わるのがエンドユーザにとって大きいと思う。XP、Vista/7、8の違いみたいなイメージ。
きちんと告知しないとユーザーが混乱するだろうし、メーカーとしてもやりづらいんじゃないかな。
Re:Android 4.3 以前 を安全に使う方法 (スコア:2, すばらしい洞察)
UIが変わると自称詳しいユーザーがけしからんと騒ぎますね。
Windowsについてはここ/.jpでも騒いでいる人が多かったですし、VistaのUAC導入は大変に不評でした。UACはセキュリティ強化のために必要だとどれだけ説明されても「面倒くさい」で一蹴され話を聞いてもらうことすらかなわないものでした。Android OSのアップデートを配布すると、メーカーにとっては同じような不評をコストを掛けて受けることになるのでやりたくないでしょう。
特に、携帯電話としてのAndroid端末については日本国内においてはメーカーではなくキャリアが販売してサポートする体制になっていますが、あのキャリアたちがサポートできるわけも無いしサポートする気も無いでしょう。
端末供給側にとっては、OSアップデートではなく端末変更によって操作性が変わったと認識されればいいわけですから、端末変更させたいところです。端末を買わせて利益になるし旧機種(といっても1年半経っただけの機種も多いですが。)のサポートコストも削れるし旧機種のアップデートに伴う批判も受けないで済むし、端末供給側にとっては良いことずくめです。
理解しようとしないユーザー側と無責任で目先の利益優先の供給側、両者が手を取り合って作り出した状況です。短サイクルで買い替え続ければいいんじゃないですかね。
Re: (スコア:0)
まあそうなんだろうけど、キャリアの2年縛りがあって簡単に機種変更できないのだから、せめて発売後2年はアップデートして欲しいわ。
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
回線契約と端末購入は別のことです。回線契約の割引に端末が紐付けられたり、端末代金を割賦にすると回線費用と合わせて請求されるので間違えやすいですが。
2年契約開始時に同時に購入した端末Aが古くなったと感じたら別に用意した端末Bで回線を使うことはできます。また、2年契約の中途にキャリアから直接に端末Cを購入し回線契約はそのままということもできます。同時に抱えられる割賦台数の限度に達していると残額の清算が求められますが。このように新機種を買い続けながら2年の回線契約を全うすることはできます。それが支払いに割に合うことかどうかは各自の判断でお願いします。
キャリアも黙ってないでちゃんと案内出せばいいんですよ。こんな感じで。
Re: (スコア:0)
将来は2年後に ○ONYタイマー作動ってことで。
Re: (スコア:0)
月々割とか毎月割を2年間設定している中で、「回線契約と端末購入は別のことです(キリッ」って言ってどうするんだ。
そもそもキャリアが2年使うことを前提にした売り方をしているのに、そんな案内を出したらキャリアの販売方式自体が崩壊するだろ。
Re: (スコア:0)
だからその販売方式が崩壊してるのが現状って言われてるのがわからない?
端末持ち込んでも当初の2年契約はそのままで毎月割などはそのまま使えるから、2年縛りによって端末更新を阻害はしていないというのがキャリアの言い分。
その理屈の上でOSの脆弱性を避けるにはこんなヘンテコな案内を出すことになるってこと。
ちなみに今現在でも4.3以下の機種は売られてるからこの案内は買った翌日には届くことになるな。
Re: (スコア:0)
さらに崩壊してるのが、完全な端末持ち込みの新規契約だとそもそも毎月割がないから、端末セットで買うより高かったりするんだよね。
もう完全に狂ってる。
端末の割引を通信料からやってるからややこしい。まじで完全に分離すべきだわ。
一括ゼロ円とか、長期契約者を舐めてるし。
販売方法・料金体系としてはMVNO系の方がまともだわ。
総務省は仕事してほしい。
Re: (スコア:0)
だから分かってる人はMVNOに移行すれば良いんですよ。
総務省に出来ることは端末メーカーにSIMフリー端末の出荷を要請することと、キャリアが圧力をかけた時にメーカーを保護することです。
Re: (スコア:0)
やはりiPod Touch + WiMAX最強なのか。
SIMフリーでもよいです。
Re: (スコア:0)
シェアが何%を切ったらサポート終了していいんだ?
Re: (スコア:0)
有償製品としては、販売時にサポート期間を明示しておくのがベターですかね。
Androidは有償製品に組み込まれる事は明らかなので、メーカーやユーザー向けに
消費サイクルを検討できるようなサポート期間の宣言を期待したいですね。
Re: (スコア:0)
そうだけど、現状一般消費者向けOSメーカーでサポート期間明示してるのはMicrosoftくらいじゃないかな。
GoogleもAppleもいきなり切ってくる。
Appleは過去の実績(?)で3年くらいで切られるっていうのは予想できるけど。イメージはOS切るというより端末向けのアップデートを切るわけだけど。
Androidもそっちに近いかも。OSのサポート切られるより、端末メーカーがアップデートしなくなる方が早い。
Re: (スコア:0)
サポート期間を明記の上、延長サポートまでしたXPは散々叩かれましたね。
Re: (スコア:0)
個人消費者の頭がおかしいんだよね。
長目の期限を明示するよりも、黙ってフェードアウトする方が評判悪くならないっていう。
もちろん、法人市場では期限明示していることの意味は大きいですが。
Re: (スコア:0)
MicrosoftもWindows8や10のサポートがどうなるかちょっと怪しい。
Re: (スコア:0)
10はともかく8は明示されているだろう
Re: (スコア:0)
> このような Google の対応は、大変無責任ではないでしょうか?
Googleは脆弱性を修正したマイナーバージョンアップを提供しているだろ?
無責任なのは、それを配布しようとしないキャリアだと思うが。
「アップデート」に余計な機能・UIの変更を含めるGoogleが悪い (スコア:2)
Androidは本当にオープンなのか [srad.jp] でも話題になったように、Googleは、端末メーカーと交わしているMADA(Mobile Application Distribution Agreement)という合意書(機密扱いだが訴訟の過程で明らかになった)で、ホーム画面に設置するアプリや検索エンジンなど、ありとあらゆる条件を押し付けています。従って、「デバイスメーカーは自由にAndroidを改変してあらゆる範囲の機能にカスタマイズできる」というGoogleの主張は大嘘であったことが判明しました。また、端末メーカーに対して端末ごとにライセンス料を課しているそうです。
といった訳で、GoogleはGoogle PlayストアなどのGoogleモバイルサービスを搭載した Android OS の導入に対して契約を要求している訳ですから、Android ブランドの信頼性を守るために、○年間はアップデートに対応しなければならないといった条項を含めることもできた訳です。従って、Google に責任があると思います。
あと、「Googleは脆弱性を修正したマイナーバージョンアップを提供している」というのは誤りで、単体で脆弱性の修正パッチを出さずに、脆弱性の修正と共にUI・デザイン・機能などを大幅に変えた後方互換がまるでない新しいバージョンのメジャーバージョンアップを提供しているにすぎません。例えるなら、Windows XP を Windows Update すると Windows 8 になるようなもの です。いや、Microsoft は従来のアプリがそのまま動くように最大限の配慮をしていますし(積極的に切り捨てようとする Google とは正反対)、Windows 8 にしたところで アプリからUSBメモリー(Android のSDカードに相当)への書き込みができなくなったりはしませんから、もっと酷いかもしれません。
現に、Android 4.4 でアプリからSDカードへの書き込みができなくなるなど、大幅な仕様変更が行われているわけです。また、後方互換性も不十分ですから今まで動いていたアプリが動かなくなることが多いです(Play ストアを見ると Android OS x.x.x に対応しました、みたいな更新が多いことからも分かります)。こんなのをそのまま端末メーカーが自働更新のアップデートとして配布したら、 docomo・au・SBショップへクレームが殺到しますから、現実的ではありません。
Google は、Android 4 シリーズのアップデートは、脆弱性とバグの修正だけに留めて、それを Android 4 の公開から5年ぐらいは維持していればよかったと思います。新しい機能とかデザインとかは Android 5 に組み込めば良かったんです。後方互換性をきちんと維持できており、UIや機能に変更がなければ、メーカーは最低限の検証だけで新しいバージョン(バグと脆弱性の修正のみ)をそのまま自動アップデートとして提供することができます。これで、問題は解決です。
Re: (スコア:0)
バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。
Appleですら最新OS以外のパッチバージョン出してませんでしたっけ?
Re: (スコア:0)
>バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。
http://www.itmedia.co.jp/news/articles/1501/26/news152.html [itmedia.co.jp]
Re: (スコア:0)
「ユーザーの多くが」・・・そうでない人がどれだけいるとは言っていない。
「日に日に減少している」・・・どれだけ残っているとは言っていない。
Re: (スコア:0)
> Android ブランドの信頼性を守るために、○年間はアップデートに
> 対応しなければならないといった条項を含めることもできた訳です。
> 従って、Google に責任があると思います。
キャリア様が働かないことを見越して、契約でアップデートを強制させなかったから、
キャリア様じゃなくてGoogleに責任があると。なるほどなるほど。
> Google は、Android 4 シリーズのアップデートは、脆弱性と
> バグの修正だけに留めて、それを Android 4 の公開から5年ぐらいは
> 維持していればよかったと思います。
その働かないキャリア様が、なんでバグ修正だけのパッチは配布すると思うの?
「最低限の検証だけで」って、それだって結構なマンパワーが発生するのに。
あと、5年もの長期間サポートを要求するのは、ちょっと酷じゃないかな……。
もう少し手心を……。
Re: (スコア:0)
そこまで保守の要求水準があがるとandroidのライセンス料がだいぶあがってしまって、
iOSと競争にならなかったかもしれませんね。
私はiPhoneユーザーですがiOS寡占の状況は決してよくないのでandroidが普及してくれて
よかったと思ってはいます。androidの面白い機能に似たものがiOSに実装されたりしましたしね。
Windows Phoneも頑張って欲しいです。イヤミとかではなく心からそう思います。
さて今のGoogleはセキュリティなんて二の次だよって言ってた頃のMSっぽさがあります。
セキュリティ重視に舵を切ったMSのようになれるのかどうか。
MSにはゲイツという強権をふるえるものがいましたが、Googleにはそれがいるかどうか。
# Appleも大概ひどいですけどこれはandroidのストーリーですし、
# さすがにGoogleのやり口よりはAppleの方が幾分マシなので言及しません
Re: (スコア:0)
なんでメジャーバージョンアップに相当するような改変をしているを4.x系統をマイナーバージョンアップみたいな扱いにしてるんですかね。
5にしたくない理由でもあるんでしたっけ。
Re:Android 4.3 以前 を安全に使う方法 (スコア:2)
2 -> 4に比べれば,大した改変ではないのでは
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
メジャーバージョンアップにするかマイナーバージョンアップにするかは投票で決めれば丸く収まるに違いない!
(キリッ!)
Re: (スコア:0)
googleはメジャーバージョンアップと思っていないから。
Re: (スコア:0)
Google「これくらいならおまえら余裕で対応できるだろ?」
ってことなんじゃないかな。
Re: (スコア:0)
4.0の標準ブラウザでGoogle Play ストアにアクセスしたら今は「このブラウザは現在はサポートされていません」と出るね
Re: (スコア:0)
スマホの場合、自分だけで済まずに他人の個人情報漏えいになる点が影響デカすぎます。
会社で4.4未満のAndroidスマホ採用済みだったら速攻使用禁止令出して、BYODもAndroid4.4未満は使用禁止にしないとダメって事ですよね。
# とある人に携帯のメアド教えた次の日からspamが大量に届くようになってうんにょり。
## 単に嫌われてるだけかもしれませんけど。
Re: (スコア:0)
前回も早速突っ込まれてたのに [srad.jp]まだそんな寝言言ってるの? WebViewで広告表示しているアプリなんてどうやって見分けるんだよ。
マジ迷惑だからいい加減「インターネットにつながないでUSBメモリも使わなければXPはずっと安全に使える」みたいなこと言い張るのはやめろ。無責任なのはお前のほうだ。
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
Googleが邪悪なんじゃない、OSのアップデートを行なわないメーカーとキャリアが邪悪なんだ。
Re: (スコア:0)
ほんとそれ。GoogleはNexusデバイスに18か月もの間アップデートを提供するというのに。
https://support.google.com/nexus/answer/4457705?hl=ja [google.com]
> Nexus 端末がアップデート期間(通常、端末のリリースから約 18 か月)を超えている場合は、最新バージョンの Android は提供されない場合があります
Re: (スコア:0)
その宣言は
「18ヶ月は必ず最新バージョンへのアップデートを保証する」であって、
実績としてはもうすこし長い期間アップデートが提供されているけれどね。
https://developers.google.com/android/nexus/images [google.com]
Re: (スコア:0)
18か月「も」なんだ。
それでもキャリア各社の2年縛りでは保証されないのね。