すまほん編集部 
少し前に、「Android 4.3以下のセキュリティが切り捨てられる、9億台が脆弱性に晒される」と話題になったことがありました。これはセキュリティ研究者がAndroid 4.3以前のWebViewの脆弱性を報告したのに対し、Googleが対応しないと回答したことに端を発するもの。
これについてGoogleのAdrian Ludwig氏がGoogle+上で公式に言及しました。
それによれば、Android 4.3以下で採用されているWebViewは、レンダリングエンジンとしてWebKitが用いられていますが、このプロジェクトは2年以上の時を経て、コードが500万行にものぼり、数百の開発者が毎月数千もの新しいコミットを追加するなど、非常に膨大なものとなったため、脆弱性のパッチを適用することも難しくなってきていました。
そこでAndroid 4.4以降ではWebViewではなくGoogleのChromiumが用いられ、この部分はシステムから分離されました。これによりGooglePlay経由で直接アップデートが可能なので、常に安全な状態が保てます。以上がGoogleのWebViewにセキュリティパッチのサポートをやめた理由・経緯となります。
WebViewは標準ブラウザや、アプリ内ブラウザなどに利用されているものです。これまでGoogleが行っていたセキュリティパッチの適用を、各OEMメーカーが実施するか、またはAndroid 4.4へのバージョンアップを提供することで、脆弱性の問題はクリアできますが、そうは言ってもなかなか最新のOSにアップデートされるデバイスばかりでもありません。
そこで、Adrian Ludwig氏の奨励する、個人でもできる対策方法が、ChromeやFirefoxといったブラウザを使うことです。これらはまず、WebViewを利用していない上に、単独のアプリとして提供されているため、Google Playで最新の状態を保つことができるので、脆弱性への対処もすぐに行われるからです。
同氏はSamsung、LG、Motorola、HTCといった大手メーカーの端末やNexusシリーズは、Chromeがプリインストールまたはデフォルトブラウザとなっていることを指摘しています。Xperiaシリーズも国内版はキャリアのサービスとの互換性からか「標準ブラウザ」がインストールされていますが、確かに国際版はChromeしか入っていませんね。
Android 4.3以下のユーザーが今すぐに取れる自衛措置は、ChromeやFirefoxといったブラウザに乗り換えること、ということになりそうです。ただしWebViewを用いて作成されたアプリケーションで、脆弱性を突いたページを開いてしまう可能性もゼロとは言い切れませんので、100%解決とは言いにくいところではありますが、普通にブラウジングする上では安心と言えるのではないでしょうか。
