あるセキュリティ研究者がAndroid 4.3以前に搭載されている「WebView」にセキュリティ上の脆弱性があることを発見し、開発元であるGoogleに報告したところ、Android 4.3以前にのみ存在する脆弱性についてはGoogleが修正パッチの開発を行うことは無いという回答があったと報じられ、波紋を呼んでいる。
WebViewは、標準の「ブラウザ」をはじめとする様々なアプリでWebページなどの表示のために使われている重要なプログラム部品だ。
Android 4.4が普及してきて、Android 5.0も公開されたとは言え、現在使われているAndroid端末の半数以上は4.3以前のバージョンなので、このまま修正パッチが提供されなければ、多くの端末が脆弱なままになってしまう恐れがある。
ただし、今回問題になっているのはWebViewに限ったことであり、Android 4.3以前の脆弱性修正が全て終了してしまったわけではない。WebViewはAndroid 4.4で大幅に刷新されたため、Android 4.3以前だけに脆弱性が存在する場合があるが、それ以外の多くの機能はAndroid 4.4以降と共通で、大抵の脆弱性は共通で存在する。その場合は、Android 4.3以前にも対応した修正パッチが開発されるようだ。
また、Androidはソースコードが公開されていて誰でも改変版を作ることができるオープンソースのソフトウェアなので、外部の開発者が修正パッチを開発することも可能だ。Google側もパッチの提供は受け付けているため、重大な脆弱性が誰にも修正されないまま放置されるということはないはずだ。
しかし、Google側で修正版が作られても、各端末メーカーや通信会社からのアップデートが提供されない場合もある。
脆弱性を悪用したサイトの被害に遭わないためには、「Firefox」や「Chrome」、「Opera」など、独自の描画エンジンを内蔵しているブラウザを使うようにするといいだろう。
また、RSSリーダーなど、WebViewを利用して様々なWebページを表示するアプリも注意が必要だ。記事本文をアプリ内で開く機能などは利用せず、本文は外部ブラウザで開くようにしておいた方がいいだろう。

・Google No Longer Provides Patches for WebView Jelly Bean and Prior | SecurityStreet

・Android 版 Firefox – Google Play の Android アプリ

・Android 用 Opera ブラウザ – Google Play の Android アプリ

・Chromeブラウザ-Google – Google Play の Android アプリ

「Firefox」は、独自のWebページ描画エンジンを内蔵しているので、WebViewの脆弱性の影響を受けない。機能を追加するアドオンも多数存在し、標準ブラウザより快適なブラウジングが可能だ。

少しでも安全性を高めたければ、標準の「ブラウザ」を無効化してしまおう。Androidの設定の「アプリ」画面で「すべて」のタブに切り替え、「ブラウザ」という項目の詳細画面に進み、「無効にする」を押そう。
「ブラウザ」が存在することを前提に作られたアプリで不具合が生じる可能性はあるが、「ブラウザ」が存在しないAndroid 4.4以降に対応しているアプリなら、問題は無いはずだ。