元の記事はどんな内容だったのか

これを元に記事を書いたサイトを含め、おそらく多くの人が元記事を読んでいないだろうと思われるので、概略を記載することにする。簡単にいうと、WebViewというアンドロイドに含まれる1つのコンポーネントに関して、Googleにセキュリティに関する報告を行ったところ、Android 4.4以前のWebViewコンポーネントに関してグーグルはOEMに報告する以上のアクションは取らないとの解答があったという話だ。

元のブログでは、ここから話が飛躍する。市場にある4.4以前のアンドロイドは60%あり、これが「Googleからのセキュリティパッチの対象外」であるとし、そのおおよその台数が9億3000万台だと述べている。

This leaves the remaining 60% or so as "legacy" and out of support for security patches from Google.(Rapid7 Security Streetより)

Google公表のOSバージョン別のシェア(2015年1月5日現在)

多くの記事のタイトルにもなった「9億台を見捨てる」の根拠がここだ。

しかし、これまでもグーグル自身がアンドロイドの「セキュリティパッチ」を直接ユーザーに配布したことはない。これまでも配布はしていないのだがら、もともと「セキュリテパッチの対象外」である。ここに、論理の飛躍、あるいは「こじつけ」がある。

この記事によれば、グーグルはセキュリティ報告に対して以前はパッチを作成していたという。しかし、グーグルが行っていたのは、WebKitのオープンソースプロジェクトに対してパッチを提供したり、アンドロイドのWebViewコンポーネントのソースコードをそれに応じて修正していただけだ。その修正は、オープンソースとして公開されているアンドロイドのソースコードとして公開されている。

なお、グーグルとライセンス契約を結んだメーカーには、公開前のソースコードへの早期アクセスや修正の通知があると言われている。メーカーは、こうした情報を元にシステムのアップデートを作成してユーザーに配布することが可能だ。

おそらく、ブログの著者は、Windowsのように、グーグルがセキュリティアップデートを作成してアンドロイドのスマートフォンやタブレットに直接配信しているのだと誤解しているのではないかと思われる。あるいは無知な読者を相手に意図的にそのあたりで論理を飛躍させているのかもしれないが、その点についてはブログからは読み取れない。

ただ、ブログの著者が関わるMetasploitという製品は、システムに「侵入」してセキュリティ状態を調査するソフトウェアであり、危機感を煽って製品の販売に結びつけようとしたという可能性も否定できない。ある意味、多くのメディアは、これにうまく「乗せられた」わけだ。