パスワードを忘れた? アカウント作成
11949975 story
Android

Android 4.0向けGoogle Chrome、サポート終了へ 75

ストーリー by hylom
終了 部門より
Printable is bad. 曰く、

Googleは、Android向け「Google Chrome」について、Android 4.0のサポートを終了することを3月3日に発表した(INTERNET Watch)。

Android 4.0のサポートは4月中旬にリリースされる予定のChrome 42が最後となり、その後のアップデートは脆弱性への対応を含めて Android 4.0に対しては提供されない。Android 4.0以前を使用しているユーザーは、 WebViewを利用していないブラウザアプリである Android用OperaブラウザAndroid版Firefoxに乗り換えると良いだろう。

なお、標準ブラウザや多くのブラウザアプリ(Sleipnir、habit、Yahoo!ブラウザー等)で利用されている WebViewコンポーネント についても、GoogleはAndroid 4.3以前のサポートを終了している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Printable is bad. (38668) on 2015年03月06日 9時34分 (#2772819)

    先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。

    Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。

    攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(R7-2015-02: Google Play Store X-Frame-Options (XFO) Gaps Enable Android Remote Code Execution (RCE) [rapid7.com])。

    脆弱性を回避して、Android 4.3 以前 を安全に使う為には、下記の対策を【全て】行わなければなりません。

    • * 標準ブラウザや、WebView を利用しているブラウザアプリ(Sleipnir、habit、Yahoo!ブラウザー等)を使わない。代わりに、Android 用 Opera ブラウザ [google.com]、Android 版 Firefox [google.com]、Chromeブラウザ [google.com](Chrome ブラウザのサポートが終了した Android 4.0 以前の場合は不可、4.1~4.3 の場合には現時点ではOK) 等の WebView を利用していないブラウザアプリを用いる。
    • * 広告の表示等に WebView を使用している可能性のあるアプリを使わない。代わりに、広告表示が無く(もしくは WebView 以外を用いて広告配信を行っている)、信頼できるアプリのみを使う。もしくは、root 化して広告ブロックを行う。
    • * GPS 機能は Google マップを使う場合など、やむを得ない場合を除いて無効にしておく。また、GPS 機能を有効にする前に、ブラウザアプリと信頼できないアプリを全て終了する。

    Google 公表の統計データ(2015年2月24日~同年3月2日) [android.com]によると、脆弱性の影響を受けるバージョンの Android OS のシェアは、55.8%(先月だと 58.7%)にも及びます。それにもかかわらず、Google は今後 Android 4.3 以前の脆弱性を修正する気はない ようなので、世界の半数以上の Android ユーザーが危険に晒され続けることになります。このような Google の対応は、大変無責任ではないでしょうか?

    • WebViewが含まれてるアプリかどうか判別する手段がない。
      ブラウザ以外でもローカルファイル表示するのに結構使ってたりするので、細工したファイルを読み込ませることができれば攻撃できる。理論的にはね。

      というわけで、安全に使用する方法はない

      親コメント
    • by Anonymous Coward on 2015年03月06日 21時43分 (#2773285)

      > Google の対応は、大変無責任ではないでしょうか?

      大変無責任ではない。Googleは脆弱性を修正したバージョンを公開しているから。
      問題なのは、メーカーやキャリアが修正したバージョンを配布しないことである。

      (1) Googleのソースコード
          ↓
      (2) メーカーやキャリアが独自にカスタマイズ
          ↓
      (3) エンドユーザー

      Googleが(2)をすっとばしてエンドユーザーに修正版を届けることはできない。

      Google の対応が大変無責任ではないことがわかりましたか?

      親コメント
    • by Anonymous Coward

      基本無理ゲーってことで理解した。

      たしかにGoogleにも問題があるかもしれないが、4.X系としては4.4まで出してるのに各社が4系をアップデートしないのも大きい。
      4系(というかAndroid全般)ってポイントリリースごとにそんな大きな差があるってこと?
      4.0 -> 40.0
      4.1 -> 41.0
      とか読み替えた方がいいのかな?

      • by Anonymous Coward on 2015年03月06日 10時07分 (#2772838)

        4.0→4.1
        4.3→4.4
        この2つのアップデートの時に、仕様変更が大きいです。
        # 4.1、4.2、4.3はどれもJelly Beanなので当たり前の話なんですが。
        従って、4.0や4.3で放置されているスマホが多いと思います。

        でも、Cyanogenmodなどのカスタムロムが大きな問題なく動作しているところを見ると、初期バージョンが4.xなら普通に4.4までアップデートできるはずなんですけどね。
        動作検証が負担になるため、メーカー各社がアップデートしたがらないということなんでしょう。

        親コメント
        • 少し前まではなんでマイナーアップデート位しないんだよ!って批判してたけど、
          Android アプリを開発するようになって原因が分かった。

          マイナーバージョンが変わっても Windows 2000 - > XP 位の差だろう?って思ってたんだけど
          実際は、Windows Vista -> Windows 8 位の違いがあったでござる。

          APIが非推奨になって削られたり、動作がかわったり、変数の引数が変わってたり、コンポーネントが別のコンポーネントに置き換わってたり

          同梱してたアプリ、そのままコンパイルしなおせば動くってわけじゃないことが分かったよ…。
          これは大変すぎる…。

          |。・ω・) 。o ( もう、これは、Android 設計したGoogleが悪いに違いない )

          親コメント
        • by Anonymous Coward

          Jelly Beanの前後でUIが変わるのがエンドユーザにとって大きいと思う。XP、Vista/7、8の違いみたいなイメージ。
          きちんと告知しないとユーザーが混乱するだろうし、メーカーとしてもやりづらいんじゃないかな。

          • by Anonymous Coward on 2015年03月06日 10時50分 (#2772866)

            UIが変わると自称詳しいユーザーがけしからんと騒ぎますね。
            Windowsについてはここ/.jpでも騒いでいる人が多かったですし、VistaのUAC導入は大変に不評でした。UACはセキュリティ強化のために必要だとどれだけ説明されても「面倒くさい」で一蹴され話を聞いてもらうことすらかなわないものでした。Android OSのアップデートを配布すると、メーカーにとっては同じような不評をコストを掛けて受けることになるのでやりたくないでしょう。
            特に、携帯電話としてのAndroid端末については日本国内においてはメーカーではなくキャリアが販売してサポートする体制になっていますが、あのキャリアたちがサポートできるわけも無いしサポートする気も無いでしょう。
            端末供給側にとっては、OSアップデートではなく端末変更によって操作性が変わったと認識されればいいわけですから、端末変更させたいところです。端末を買わせて利益になるし旧機種(といっても1年半経っただけの機種も多いですが。)のサポートコストも削れるし旧機種のアップデートに伴う批判も受けないで済むし、端末供給側にとっては良いことずくめです。
            理解しようとしないユーザー側と無責任で目先の利益優先の供給側、両者が手を取り合って作り出した状況です。短サイクルで買い替え続ければいいんじゃないですかね。

            親コメント
            • by Anonymous Coward

              まあそうなんだろうけど、キャリアの2年縛りがあって簡単に機種変更できないのだから、せめて発売後2年はアップデートして欲しいわ。

              • by Anonymous Coward on 2015年03月06日 12時07分 (#2772918)

                回線契約と端末購入は別のことです。回線契約の割引に端末が紐付けられたり、端末代金を割賦にすると回線費用と合わせて請求されるので間違えやすいですが。
                2年契約開始時に同時に購入した端末Aが古くなったと感じたら別に用意した端末Bで回線を使うことはできます。また、2年契約の中途にキャリアから直接に端末Cを購入し回線契約はそのままということもできます。同時に抱えられる割賦台数の限度に達していると残額の清算が求められますが。このように新機種を買い続けながら2年の回線契約を全うすることはできます。それが支払いに割に合うことかどうかは各自の判断でお願いします。
                キャリアも黙ってないでちゃんと案内出せばいいんですよ。こんな感じで。

                ○○様
                平素は弊社サービスをご利用いただきありがとうございます。この度はお客様の安全なスマートフォンご利用のためにご案内を送付いたしております。2014年7月にご購入いただきましたスマートフォン端末(××)は搭載OSに安全性の問題が確認されております。現在ご利用いただいている××の安全性の問題については解決する予定は一切ございません。つきましては、安全性の問題が解決されたOSバージョンを搭載したスマートフォン端末をご利用下さるようご案内いたします。弊社では次の機種を推奨します。
                (5万から8万円のプライスリスト)
                どうぞ今後も弊社をお引き立て下さるようお願いいたします。

                親コメント
              • by Anonymous Coward

                将来は2年後に ○ONYタイマー作動ってことで。

              • by Anonymous Coward

                月々割とか毎月割を2年間設定している中で、「回線契約と端末購入は別のことです(キリッ」って言ってどうするんだ。
                そもそもキャリアが2年使うことを前提にした売り方をしているのに、そんな案内を出したらキャリアの販売方式自体が崩壊するだろ。

              • by Anonymous Coward

                だからその販売方式が崩壊してるのが現状って言われてるのがわからない?
                端末持ち込んでも当初の2年契約はそのままで毎月割などはそのまま使えるから、2年縛りによって端末更新を阻害はしていないというのがキャリアの言い分。
                その理屈の上でOSの脆弱性を避けるにはこんなヘンテコな案内を出すことになるってこと。
                ちなみに今現在でも4.3以下の機種は売られてるからこの案内は買った翌日には届くことになるな。

              • by Anonymous Coward

                さらに崩壊してるのが、完全な端末持ち込みの新規契約だとそもそも毎月割がないから、端末セットで買うより高かったりするんだよね。
                もう完全に狂ってる。
                端末の割引を通信料からやってるからややこしい。まじで完全に分離すべきだわ。
                一括ゼロ円とか、長期契約者を舐めてるし。

                販売方法・料金体系としてはMVNO系の方がまともだわ。
                総務省は仕事してほしい。

    • by Anonymous Coward

      シェアが何%を切ったらサポート終了していいんだ?

      • by Anonymous Coward

        有償製品としては、販売時にサポート期間を明示しておくのがベターですかね。
        Androidは有償製品に組み込まれる事は明らかなので、メーカーやユーザー向けに
        消費サイクルを検討できるようなサポート期間の宣言を期待したいですね。

        • by Anonymous Coward

          そうだけど、現状一般消費者向けOSメーカーでサポート期間明示してるのはMicrosoftくらいじゃないかな。
          GoogleもAppleもいきなり切ってくる。
          Appleは過去の実績(?)で3年くらいで切られるっていうのは予想できるけど。イメージはOS切るというより端末向けのアップデートを切るわけだけど。
          Androidもそっちに近いかも。OSのサポート切られるより、端末メーカーがアップデートしなくなる方が早い。

          • by Anonymous Coward

            サポート期間を明記の上、延長サポートまでしたXPは散々叩かれましたね。

          • by Anonymous Coward

            MicrosoftもWindows8や10のサポートがどうなるかちょっと怪しい。

            • by Anonymous Coward

              10はともかく8は明示されているだろう

    • by Anonymous Coward

      > このような Google の対応は、大変無責任ではないでしょうか?

      Googleは脆弱性を修正したマイナーバージョンアップを提供しているだろ?
      無責任なのは、それを配布しようとしないキャリアだと思うが。

      • Googleは脆弱性を修正したマイナーバージョンアップを提供しているだろ?
        無責任なのは、それを配布しようとしないキャリアだと思うが。

        Androidは本当にオープンなのか [srad.jp] でも話題になったように、Googleは、端末メーカーと交わしているMADA(Mobile Application Distribution Agreement)という合意書(機密扱いだが訴訟の過程で明らかになった)で、ホーム画面に設置するアプリや検索エンジンなど、ありとあらゆる条件を押し付けています。従って、「デバイスメーカーは自由にAndroidを改変してあらゆる範囲の機能にカスタマイズできる」というGoogleの主張は大嘘であったことが判明しました。また、端末メーカーに対して端末ごとにライセンス料を課しているそうです。

        といった訳で、GoogleはGoogle PlayストアなどのGoogleモバイルサービスを搭載した Android OS の導入に対して契約を要求している訳ですから、Android ブランドの信頼性を守るために、○年間はアップデートに対応しなければならないといった条項を含めることもできた訳です。従って、Google に責任があると思います。

        あと、「Googleは脆弱性を修正したマイナーバージョンアップを提供している」というのは誤りで、単体で脆弱性の修正パッチを出さずに、脆弱性の修正と共にUI・デザイン・機能などを大幅に変えた後方互換がまるでない新しいバージョンのメジャーバージョンアップを提供しているにすぎません。例えるなら、Windows XP を Windows Update すると Windows 8 になるようなもの です。いや、Microsoft は従来のアプリがそのまま動くように最大限の配慮をしていますし(積極的に切り捨てようとする Google とは正反対)、Windows 8 にしたところで アプリからUSBメモリー(Android のSDカードに相当)への書き込みができなくなったりはしませんから、もっと酷いかもしれません。

        現に、Android 4.4 でアプリからSDカードへの書き込みができなくなるなど、大幅な仕様変更が行われているわけです。また、後方互換性も不十分ですから今まで動いていたアプリが動かなくなることが多いです(Play ストアを見ると Android OS x.x.x に対応しました、みたいな更新が多いことからも分かります)。こんなのをそのまま端末メーカーが自働更新のアップデートとして配布したら、 docomo・au・SBショップへクレームが殺到しますから、現実的ではありません。

        Google は、Android 4 シリーズのアップデートは、脆弱性とバグの修正だけに留めて、それを Android 4 の公開から5年ぐらいは維持していればよかったと思います。新しい機能とかデザインとかは Android 5 に組み込めば良かったんです。後方互換性をきちんと維持できており、UIや機能に変更がなければ、メーカーは最低限の検証だけで新しいバージョン(バグと脆弱性の修正のみ)をそのまま自動アップデートとして提供することができます。これで、問題は解決です。

        親コメント
        • by Anonymous Coward

          バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。
          Appleですら最新OS以外のパッチバージョン出してませんでしたっけ?

          • by Anonymous Coward

            >バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。

            http://www.itmedia.co.jp/news/articles/1501/26/news152.html [itmedia.co.jp]

            ラドウィッグ氏は、WebViewの脆弱性パッチについてはAndroid 4.3(コードネーム:Jelly Bean)以前向けは提供しないと認め、その理由を次のように説明した。

             「最近までAndroid 4.3以前についてもWebKitのバックポート(新版での修正を旧版に移植すること)を提供してきたが、WebKit単体でも500万行のコードで成り立っており、さらに何百人もの開発者が毎月のように何千もの新機能を追

        • by Anonymous Coward

          > Android ブランドの信頼性を守るために、○年間はアップデートに
          > 対応しなければならないといった条項を含めることもできた訳です。
          > 従って、Google に責任があると思います。

          キャリア様が働かないことを見越して、契約でアップデートを強制させなかったから、
          キャリア様じゃなくてGoogleに責任があると。なるほどなるほど。

          > Google は、Android 4 シリーズのアップデートは、脆弱性と
          > バグの修正だけに留めて、それを Android 4 の公開から5年ぐらいは
          > 維持していればよかったと思います。

          その働かないキャリア様が、なんでバグ修正だけのパッチは配布すると思うの?
          「最低限の検証だけで」って、それだって結構なマンパワーが発生するのに。

          あと、5年もの長期間サポートを要求するのは、ちょっと酷じゃないかな……。
          もう少し手心を……。

      • by Anonymous Coward

        なんでメジャーバージョンアップに相当するような改変をしているを4.x系統をマイナーバージョンアップみたいな扱いにしてるんですかね。
        5にしたくない理由でもあるんでしたっけ。

  • by Anonymous Coward on 2015年03月06日 9時57分 (#2772831)

    とっくに始まっていたのかもしれませんけど。

    Android機がセキュリティ的に安全であった時期は少ないですが、
    ユーザが自分では修正しようのない脆弱性を残したままサポートが
    打ち切られるというのは、酷いやり方だと思います。

    GoogleはAndroid機器のメーカーに対して、発売から3,4年はAndroidOSの
    最新バージョンに追従することを義務付けておくべきでしょう。
    それが出来ていないなら、AndroidOSのアップグレードが必要ないように
    WebViewやChromeのサポートを継続すべきでしょう。

    4,5年はAndroidユーザをしていますが、こうやって使用中のAndroid搭載機が
    サポート終了で死んでいくのを繰り返すのは、いい加減飽き飽きです。
    「今度もAndroid機が欲しい」とは思わなくなってきました。

    毒林檎は食べたくないので、 Windows10(Phone)で、早く良い機種が日本でも
    発売されないかと待ち望んでいますけど、日本のキャリアは望み薄ですね…。

    ガラケーに戻るか。

    • by Anonymous Coward

      死亡説が流れる人は長生きするというジンクスが発動して
      今後もゾンビのように生き残り続ける可能性が

      • OS/2の話はそこまで(汗

        でも Windows 10 Mobile なスマートフォンが日本で発売されたところで、大半の Windows Mobile 5.0, 6.x のように買い替えないとバージョンアップできない罠が日本のキャリアから仕掛けられていそうな気がする。であれば状況は今とそう変わらないかもよ。

        親コメント
        • by Anonymous Coward

          サポートライフサイクルを確認すると、7/8.0はメーカー、キャリアによる打ち切りの可能性が注意書きされていますが、8.1ではその注意書きは無くなっています。
          読んだ通りなら、キャリアを通さなくてもアップデート可能になっていると解釈できます。

        • by Anonymous Coward

          Windows10へのアップグレードの話に、Windows Mobileなんて古(いにしえ)の機器を持ってこられてもね。

          • by Anonymous Coward

            彼は、MicrosoftはWindowsへのアップデートを保証しても、キャリアの都合でアップデートさせないって可能性の話をしているんだと思うよ。
            どうして文章の大意を読まずに、Windows Mobileという些末なところに引っかかるかな。

    • by Anonymous Coward

      日本の場合キャリア主導でGoogleがサポートしようがアップデートしないんだからどうしようもない

    • by Anonymous Coward

      google自身が自社端末のサポートを発売開始から18か月までとしている [google.com]のに4,5年とかいわれてもね。
      androidで長期サポートを受けたいなら自分で端末を作ってくださいとしか言えません。

      • by Anonymous Coward

        そのサポートが短いぞクソGoogle、マイクロソフト様を見習え。ついでにiOS滅べ、という話をしているのに、Google様が下達している事をことさら強調されても

      • by Anonymous Coward

        論理的思考を持とうね。

        Googleが言っているのは最新AndroidOSのアップグレードを保証するのは
        端末のリリースから18カ月まで。
        それを超えると、最新バージョンは提供しない「ことがあります」。

        ということは提供するかもしれないわけだ。

        さらにだね、「最新バージョンは」ということ。

        Nexusシリーズで4.0が入った機種が発売されたとしよう。
        4.0は2011年の10月だ。それから18カ月くらい後だと、4.2.2が出てる。

        4.0は3年半ほどサポートされたということになるので、4.2.2も
        同じくらいサポートされたとすると、18+42で、60カ月、5年間も
        サポートされるということになる。

        • by Anonymous Coward

          それはGoogleがリリースする端末の話で合っていますね?

        • by Anonymous Coward

          端末のOSアップグレードをサポートする期間の話をしているつもりでしたが…。Nexusの場合はその端末が発売された日(端末のリリース)から起算して18ヶ月ですよ。

    • by Anonymous Coward

      ubuntu phone

  • by Anonymous Coward on 2015年03月06日 12時40分 (#2772935)

    アンドロイドはiPhoneと違ってセキュリティソフトをインストールできるのだからそれを使えば安心と聞きました。
    //アンドロイドは使ったことがないので伝聞ですが

    • by Anonymous Coward

      なるほど、ビジネスチャンスということだな。
      # 今こそ俺のASテクノロジが炸裂する時

  • by Anonymous Coward on 2015年03月06日 13時45分 (#2772972)

    最新のソフトウェアアップデートがほしいならなぜGoogle様謹製のNexusデバイスを使わないのだ
    どこの馬の骨が作ったかわからないハードウェアに勝手に引っ付いてきたAndroidはAndroid風OSなのであって
    それにGoogleのサポートを求めるなど笑止である
    わはははは!!!!

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...