米Googleが「Android 4.3(Jellybean)」以前に搭載されているブラウザーに存在する脆弱性について対応しない方針を示し、複数の米メディア(Wall Street JournalやCNETなど)が「GoogleはAndroidユーザーをハッキングの危険に曝しておくつもりだ」と批判している。
GoogleのAndroidセキュリティ担当者であるAdrian Ludwig氏は現地時間2015年1月23日、自身の「Google+」アカウントを通じて、問題の脆弱性に対するパッチを提供しないことについて説明した。
Googleは2013年より、Webブラウザーコンポーネント「WebView」のレンダリングエンジンを「WebKit」から「Blink」に切り替えている。「Android 4.4(KitKat)」で新しいレンダリングエンジンを採用し、「Android 5.0(Lollipop)」ではWebViewをOSから切り離してアプリ化した。
Ludwig氏によれば、Android 4.3以前で採用していたWebKitはコードが500万行を超え、多数の開発者が毎月数千の新しいコミットを追加している。そのため「2年以上前のWebKitに安全にパッチを当てることは、もはや現実的ではない」と同氏は述べている。
Ludwig氏は「ソフトウエアをアップデートすることがセキュリティ対策として最も重要だ」とし、Androidを新しいバージョンにアップデートすることを勧めている。もしくは同社の「Chrome」ブラウザーまたは米Mozillaの「Firefox」ブラウザーをダウンロードして使用する手段を紹介している。
なお、Googleが公表しているAndroidバージョン別シェア(2014年12月30日~2015年1月5日)は、Android 4.4が39.1%で、Android 4.3以前が約60%を占めている。Android 5.0は0.1%未満のためデータに反映されていない。
[発表資料へ]
