Google、Android 4.3のWebViewに対する脆弱性修正を行わなかった理由について説明 83
ストーリー by hylom
悪いのは誰だ 部門より
悪いのは誰だ 部門より
あるAnonymous Coward 曰く、
先日、GoogleがAndroid 4.3以前のサポートを中止するのではないか、という話が出た。発端はAndroid 4.3のWebViewに含まれる脆弱性について修正を行わなかったというものだが、これについてGoogleがその理由を語ったそうだ(Slashdot、ITmedia)。
これによると、AndroidのWebViewはAndroid 4.3以前ではWebKit、4.4以降ではChromiumベースの実装になっているという。そして、Android 4.3のWebViewは2年以上前のWebKitからフォークして独自に開発が加えられたものであるため、現在のWebKitに対するセキュリティ修正と言った新しい変更を加えにくくなっているのだという。
なお、本家記事では「GoogleはMicrosoftやAppleの解決されていない脆弱性を公表しているのに、Androidに対しては脆弱性を修正するリソースがないとしているのは興味深い」などと皮肉られている。
ストーリー (スコア:1)
書こうと思った
GoogleはMicrosoftやAppleの解決されていない脆弱性を公表しているのに、Androidに対しては脆弱性を修正するリソースがないとしているのは興味深い
がストーリーに記載されていて出鼻をくじかれた感があります。
Re: (スコア:0)
同感です
理由にならない (スコア:1)
2年以上前のWebKitからフォークして独自に開発が加えられたWebKitベースのWebViewを殺して、ChromiumベースのWebViewに換装すれば良いじゃないか。
代わりにFirefox他をインストールしろと云う話なのだから。
容量上収まらない以外に理由はないだろう。
Re:理由にならない (スコア:2)
/dev/block/mtdblock3 on /system type yaffs2 (ro, noatime) は書き換えられないんですよ。フラッシュメモリ保護機構ちゃんどいてそいつ殺せない! dd なんかしてもむだです。
まあ、2.1くらいの時に差分を書き換え可能領域に置けるようにするくらいの知恵が回ればよかったですよね。5.0ではめでたくWebKitも更新可能になったらしいですけど。
Re: (スコア:0)
FSやどのブロックデバイスに何を配置するかまでAndroidの仕様で定められてるわけじゃないでしょ?
Re:理由にならない (スコア:2)
どこに配置するかは定められていないし、書き換える方法も統一されていません。なので、実際に動いている機器の古いWebKitが更新できません。
アプリが使うin-app browserはいつまでも脆弱な古いバージョンを使い続けることになります。
Re:理由にならない (スコア:2)
それだったら、新規採用があろうがメーカー保証があろうが4.4未満はすべてサポートを終了しましたと言ってしまえば済みますよ。
Re: (スコア:0)
WebViewの代わりに別のブラウザを入れても
ブラウザを起動して使う分には回避できるが、アプリの中からWebViewを呼んでいる場合は回避にならないってこともあるからね。
回避策としては駄目だね。
というか、今後別のセキュリティ問題が出てきた時も対処しないってことだから、ブラウザだけの問題ではないんだよね。
誰の責任にするのが妥当なのか (スコア:1)
誰が悪いの?
1. 古いバージョンをメンテしないGoogle
2. OSアップデートに消極的な通信キャリア
3. OSアップデートに消極的な端末メーカー
Appleも古いOSは切り捨てることが多いけど、端末のOSアップデートの期間は一部例外(iPad1など)を除いて3年以上はある。
OSをアップデートしない自由はユーザーにあるから自己責任でどうぞ、って感じだろう。アップデートパスは用意してるんだから。
でもAndroidの場合ユーザーはアップデートしたくてもできないのが現実。
Googleが古いOSもメンテし続けろ、というのは簡単だが、メーカーが最新OS対応しなかったらGoogleに負担がかかるばかり。
ここはGoogleがMSみたいにOSのサポート期間を公表しておくべきなんじゃないかな。
そうすればアップデート対応しないメーカーの責任にできる。アップデートさせず買い換えろ、というメーカーからはユーザーが離れていくだろう。
# SIMフリーやMVNOなどが増えてる現状では通信キャリアの責任は薄れてそうだけど、日本だとまだまだ強そうだ。
Re:誰の責任にするのが妥当なのか (スコア:3)
脆弱性対策バージョン「Android 4.4」
Googleとしては,Android 4.4にアップデートすれば良いじゃないか,という考えなんでしょうね
Re:誰の責任にするのが妥当なのか (スコア:2, すばらしい洞察)
> 2. OSアップデートに消極的な通信キャリア
OSアップデートところか、パッチが配布されるかどうか疑問。
だからGoogleがサポート続けたところで、意味がないように思う。
今でも持ってるJOJO Phone、たまに起動してるけどパッチが
配布される気配が全くない。
リリース直後はあった気がするけど……。
> でもAndroidの場合ユーザーはアップデートしたくてもできないのが現実。
同意なんだけど、厳密には「日本のキャリアから
android端末を買ったら」だと思う。
Google直販のNexusは、OSアップデートが配信されてる。
日本のキャリアから端末を買うのは、リスクが大きいように思う。
> ここはGoogleがMSみたいにOSのサポート期間を公表しておくべきなんじゃないかな。
ほんとそれ。
ubuntuだって、サポート期限やライフサイクルを公開してるのに……。
公開しない理由は、一体何なのか……。
Re: (スコア:0)
>OSアップデートところか、パッチが配布されるかどうか疑問。
今回の問題の修正についてはgoogleが「2年以上前のWebKitに安全にパッチを当てることは、もはや現実的ではない」と言ってさじを投げたのでどこからもパッチは出ないでしょう。
Re: (スコア:0)
今回の問題に限らず、日本の携帯キャリアは滅多にパッチを配信しない、という話です。
発売直後は配信しているので、技術的に不可能なわけではないはずですが……。
Re:誰の責任にするのが妥当なのか (スコア:2)
ガラケー時代はインターネットに出ていかずに完結する専用のOTA機構があって、発売から5年程度は最短で半年に一回程度、数KBとかの"その他動作の安定性を向上"するようなものを深夜に受信して自動再起動してたらしいです。KDDIはIS01とかの初期のAndroid機にこれを載せてましたが、Androidの方も自前で同じものを持ってるので、こちらに切り替わっていきました。
おそらくですが、ガラケー時代と違ってAndroidの差分更新はファイルも大きく変更内容が幅広いので、キャリアの社内ルール的に手間なのだと思われます。OSのメジャーバージョン更新をすると派生型としてマニュアル整備をしたりしているようなので、その辺の問題で更新を嫌がるのかな、と思います。
まあ、こちらが嫌なので解約するんですけど。
Re: (スコア:0)
"日本のキャリア"と限定してるけど、海外のキャリアだとずっとアップデートしてくれるんですかね?
どちらかというと、Google Nexusとかメーカーのグローバルモデルが特殊なだけな気がしますが。
Re:誰の責任にするのが妥当なのか (スコア:2, 参考になる)
Googleから買った"端末"のNexus7(2012)は発売から2年以上たってても5.0のアップデートが提供されたけど?
それにGoogleの端末は発売から最低18ヶ月はアップデートするって名言してる。
端末のサポート期間とOSの特定バージョンのサポート期間をごっちゃにしたらいかんと思うよ。
iOSもiOS8リリース直後とかでない限りiOS7に脆弱性があった場合7に対してのパッチは提供されないよね?
それにAndroid端末を作ってるメーカーはそれぞれカスタマイズしてる。それが原因でアップデートが難しいことが多いと思うけど、
それをGoogleに面倒見ろというのは違うと思う。
ただ、カスタマイズ可能ということで、いろいろなメーカーに採用させることによってiOSに対抗できる程になったのだから単に切り捨てるには難しい問題だよね
Re:誰の責任にするのが妥当なのか (スコア:1)
・キャリアのサービスでwebviewに依存するもの
・第三者からパッチが提供されマージされた場合、キャリアの対応としてアップデートが配布(キャリアから端末メーカーへの
アップデート配布要求など)される可能性は有るか、端末メーカーの判断となるか
などキャリアに問い合わせたんですが、
「当方で詳細を把握していないため、お問い合わせの件について明確なご案内ができかねます。」
「また、Google社において、Android OSに関する正式な発表があった場合の対応に関しまして、現時点でご案内できる内容はございません。」
だそうです。
なおこの質問は夜に出したのですが、翌日の午前中に回答が来たので、こう答えろという指示が有るんじゃないかなあと思われます。
ちょっとひねりを加えてもう一度質問する予定です。
Re: (スコア:0, おもしろおかしい)
あまり詳しくないのですが、Android は無料OSだと聞いた気がします。
もし、無料だとしたら Google にはメンテする責任はないと思います。
また、キャリア端末の販売方法から考えるとキャリアが責任をもつべき問題だと思います。
Re: (スコア:0)
もし、無料だとしたら Google にはメンテする責任はないと思います。
どういう理屈?
Re: (スコア:0)
Android は無料でダウンロードできます。
が、Google Mobile Services(Google Play)とかグーグルアプリを使うには0.7$程度のライセンス料金を払う必要があります。
小さい会社とか大陸産のタブレットとかはライセンス料金を払っていなさそうですが。
無料ならば責任はないというのでしたら、きちんと支払っている会社にはアップデートすべきではないでしょうか?
Re: (スコア:0)
と、金を少しでも払えば永久にサポートが受け続けられると思っている日本人が申しております。
Re:誰の責任にするのが妥当なのか (スコア:2)
3年くらい前の流れだと、Open Handset Alliance(OHA)の中核メンバーになっていないメーカーは1-2バージョン遅れの安定版を掴まされ、市場でボロ負けして行ってましたね。金より労働力を求められていたというか。
Re: (スコア:0)
Androidを名乗るための最低要件ですよね。外したらAndroidを名乗れない。
Re: (スコア:0)
> 無料ならば責任はないというのでしたら、きちんと支払っている会社にはアップデートすべきではないでしょうか?
つ 「android 4.4」
Re: (スコア:0)
IE、Firefox、Chrome他、全てパッチ当てない免罪符?
Re: (スコア:0)
> もし、無料だとしたら Google にはメンテする責任はないと思います。
Mac OSX Yosemiteもメンテ不要、ついにWindowsも10でメンテ不要。
クライアントOS 総メンテ不要時代の始まりですね!
Re: (スコア:0)
ここまでスラドにふさわしくないと思える人を見たのは……4人目です。
Re: (スコア:0)
#他社OSの粗探しに人員を割く余裕があるなら自社OSのサポートにも人員回せよと
Re: (スコア:0)
そもそも、Android4.1、4.2、4.3なんてバージョン表記にするから、古いバージョンにもパッチを作れという話しになってしまう。
これが、Android 4 update1、update2、update3(Fix Pack+多少の機能変更)という表記だったら端末メーカーの対応も変わりそう。
それでも、特定脆弱性のためだけの個別パッチを作成しろという人もいるかもしれんが。
Re:誰の責任にするのが妥当なのか(キャリア&メーカーの声) (スコア:0)
4. 機種変更や買い換えに消極的なユーザー
Re: (スコア:0)
Android機器を選択したユーザー
Re: (スコア:0)
古いバージョンをメンテしないGoogle
OSアップデートに消極的な通信キャリア
OSアップデートに消極的な端末メーカー
当事者じゃない自称情報強者
買ったやつが阿呆って
こぞって見捨てる対応なんかな
契約した人はキャリアへリコール
キャリアは端末メーカーへリコール
(SIMなし端末購入者は端末メーカーまたは販売店へリコール)
端末メーカーはGoogleを訴える
って感じで
それぞれ別で動けなええんでないかと
キャリアや端末メーカーがGoogleから取れないとか
一般消費者には関係ないものね
Re: (スコア:0)
> 誰が悪いの?
ここでMSが悪いってことにするのが/.Jerの腕の見せどころでしょう。
Re: (スコア:0)
じゃあ、「XPのサポートをだらだら続けた上他のPC用Windowsもなんだかんだで10年くらいサポートし続けやがって、旧バージョンのOSもサポートし続けるべきという風潮を作ったMSが悪い。あと、セキュリティパッチも互換性確保に手間暇をかけたりせずに、90日以内にきびきびと配布すべき。」みたいに書けばおk?
#Win10以降は機能追加をこまめにやる方針みたいだから、その辺の風潮も少し変わったりするのかな。
##企業向けに機能追加を止めるオプションも提供されるらしいから、適当なところで「安定版」を作ったりするのかもしれないけど。
Re: (スコア:0)
10からはアップデートが無料になるので、家庭向けは5年になりそうですね。
サポート伸ばしたいなら無料のメジャーアップデートをしてくださいって。
古いのを長期間使いたい人は高額なビジネス版にアップグレードを。
XP危険厨はどこに行った? (スコア:0)
MS関係のストーリーだと必ず出てくる、XPは危険だ、ネットから切り離せと声高に煽る連中がAndroidやiOSでは全く現れないんだよね。
Android 4.4以降に更新できない端末はネットから切り離したらどうでしょうか?スタンドアローンで使うといいよ。
Re: (スコア:0)
XPはMSがサポート期限を明示&ソフトランディングのために延長に次ぐ延長を繰り返したという事情がありますから。
AndroidやiOSについては、GoogleやAppleがサポート期限の明示をするのが先ですね。
Re:XP危険厨はどこに行った? (スコア:2)
サポートが切れたOSを積んだマシンは捨てろ、または閉域網にだけ繋げ、というのがそもそもMSの啓蒙した思想では?
Re: (スコア:0)
たいていのキャリアが、端末の分割購入などで2年縛りをかけていることから、2年前のOSを「古いOS」とカテゴライズして放置する方針をGoogleは立てていると思われるけど、コンピュータのOSとしてならともかく、電話機のOSの寿命としてはどうかとも思う。
端末の開発にはそれなりの時間がかかるから、常に端末メーカーが最新のOSを最新の端末に提供できるわけではない。それに既存の端末にすぐに最新のOSを提供できるわけではない。
現にロリポップがそう。
2年後にロリポップに脆弱性が発見された時、やはり「古いOS」として脆弱性修正をしないのだろうか?
だとすると、ユーザーがロリポップのメンテを享受できる期間は、2年間ではなくそれ未満だということになる。
やはり、2年間というサポート期間は短すぎないか。
よし、4.3以前の脆弱性をどんどん見つけて (スコア:0)
バンバン公開していこうぜ!
Re: (スコア:0)
それで被害を被るのはエンドユーザーなんだよなあ。
Re: (スコア:0)
直す気のない脆弱性はさっさと公開してユーザーを追い出した方が良いでしょう。
パッチの公開が遅れているのとは全く事情が違いますね。
御託はどうでもいい (スコア:0)
商売でOSを配布している以上、責任を持って修正しろ。
Re:御託はどうでもいい (スコア:2)
商用ならばOSに限らずサポート期限まではメンテナンスしてほしい。
Re: (スコア:0)
商用じゃない(オープンソース、いわばコミュニティ版)し、サポート期限というものがそもそも存在しない。
他でも書かれてるが、
4.4という修正版を出してるから、あとはメーカーが悪い、ってことになるんじゃないかな。
Re: (スコア:0)
あなたが伝説のAOSP使いか。
Re: (スコア:0)
「ずいぶん昔にコピペしてきたコードだし、
今はごっそり書き換えちゃったから、
もういじる気が起きないんだよね~」
使い捨てのWebサービスを次々ぶち上げることには達者でも
むやみにOSに手を出していい性格ではなかったってことですね。
ダブスタいくない (スコア:0)
Re: (スコア:0)
中韓だけ取り上げるのもダブスタ臭いので、「ネトウヨ」、「米国」、並びに「朝日新聞」辺りも仲間にいれてあげて下さい。
Re:ほんとGoogleって屑だな (スコア:1)
そんな物は初めから無い