全世界9億台のAndroidで脆弱性放置?Google、Android 4.3までのサポート打ち切りか

脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者Tod Beardsley氏が1月12日に公開したブログによると、GoogleはAndroid 4.3(Jelly Bean)までのWebViewの脆弱性修正パッチの提供を打ち切ったということです。

早過ぎるサポート打ち切り?

同ブログによれば、これまでは脆弱性が報告された場合Googleは迅速な対応をしていましたが、今回Android 4.4(KitKat)以前のバージョンで見つかったWebViewの脆弱性について報告したところ、Googleの担当者から「影響を受けるバージョンが4.4よりも前のバージョンであるならば、我々は一般的にパッチを開発せず、メーカーへの通知以外の対応は行えない」と、返答されたとのことです。
これはつまり、Android 4.4より古いバージョンのサポートは打ち切られたということでしょう。

また、Androidデバイスの安全を保証する最善の策はAndroidの最新バージョンに更新することで、GoogleとしてはすでにAndroid 4.3(Jelly Bean)は古すぎると考えているようです。

Android 4.4以前のデバイスは9億台以上

しかし、先日Googleより発表されたAndroid OSのバージョン別シェアでは、Android 4.3(Jelly Bean)までが全体の約60%を占めており、その数は同氏によると9億3000万台以上にも登り、それらの抱える脆弱性は放置される事になります。

同ブログでは「私は開発者として古いバージョンのサポートが非常に面倒である事を知っており、彼らの決定に共感する。(中略)しかし、次に脆弱性が公開された場合にはGoogleが考え直してくれる事を願っている。」とコメントしています。

オクトバでのアクセス解析では50%程がAndroid 4.4(KitKat)以上になっていますが、それでも半数近くはそれ以前のバージョンを使用されているようです。リリース時期・利用台数から、サポート打ち切りは早過ぎる気がしますが、今後Googleが再考してくる可能性はあるのでしょうか。

関連情報

Google No Longer Provides Patches for WebView Jelly Bean and Prior|Metasploit
Googleが2015年1月のOSバージョン別シェアを発表、Lollipopは0.1%未満か|オクトバ