credit: JD Hancock via FindCC
GoogleがAndroid 4.3以前のサポートを終了しました。
Metasploit: Google No Longer Provides Patches f… | SecurityStreet
Android 4.3までのブラウザに採用されている「Webview」のセキュリティパッチの提供をGoogleが打ち切ったそうです。
Android 4.3以前のOSは、まだ9億3000万台以上のスマホで使われています。ちなみに、Android 4.3の最後のリリースは、2013年10月で、まだ1年と3ヶ月しかたっていません。
2013年冬~2014年春に発売されたスマホでさえ、Android 4.4にアップデートできないものがたくさんあります。買ってから1年もたっていない人がたくさんいます。
「Webview」のセキュリティパッチの提供が打ち切られただけですから、スマホがすぐに使えなくなるわけではありません。「Webview」にセキュリティホールがなければ安全に使えます。「Webview」にセキュリティホールが存在し、そこをねらわれたときにリスクが発生します。
スマホのメーカーとしては、他社との差別化のために独自機能を盛り込んでいるため、Androidの新しいバージョンに簡単には対応できないという理由があります。
Googleとしては、自社の都合でサポートを終了するだけです。Androidは無償で誰でも使えるオープンソースです。セキュリティパッチは誰でも作れます。
OSの開発ベンダーとそれが動く機械のベンダーが異なるのは、MicrosoftのWindowsと同じです。しかし、Windowsのサポート期間ははるかに長く、MicrosoftはWindowsのサポート計画を早い時期から明確にしています。そこが、MicrosoftのWindowsとGoogleのAndroidの大きく異なるところです。無償のオープンソースですから、誰も文句は言えません。
このようなことは、今回が初めてではありません。これまでにも発売されてまもないAndroidスマホが、OSのアップデートができないまま、採用されているバージョンのサポートが打ち切られることはありました。
Androidの搭載された機械を使うときは、このようなリスクが常につきまとっていることを認識しながら使う必要があります。Googleがサポートを打ち切った後にセキュリティホールが発見されたならば、スマホベンダーがセキュリティパッチを作成しなければなりません。