古いAndroidが持つリスクには注意すべき

ただし、古いアンドロイドには、セキュリティのリスクがあることは、もう1つの事実として知っておく必要がある。今回の記事に関してのみ言えば、アンドロイドのサポートに関してGoogleは当事者ではないが、アンドロイドのセキュリティに関しては無関係ではない。

製品のサポートを行うのは、製造したメーカーや販売した事業者なのだが、システムのアップデートの提供状況は、多くのメーカーで頻繁とはいえず、世の中には、一回もシステムアップデートが提供されることなく消えていくスマートフォンさえある。もちろん、メーカーが独自にセキュリティ対策を組み込んでいる可能性もあるし、アップデートの配布が頻繁なメーカーもある。

しかし、公開されているオープンソース部分だけを使ったアンドロイドのタブレット(Google PlayやAndroidマーケットがない)から、メーカーが事業者の仕様に応じて開発し、独自で検証や対策が行われている製品まで、市場にはさまざまな製品がある。このため、単純にアップデートの頻度からセキュリティのリスクを推し量ることも困難だ。

WebViewは、簡単にいえば、Webブラウザの機能をアプリの画面表示に利用できるようにする、ソフトウェアの部品であり、ブラウザの中心になるコンポーネントでもある。アンドロイド用のソフトウェア部品で、システムコンポーネントであるため、Lollipop以前のアンドロイドでは、システムのアップデートでしか更新できないという問題があった。前述のようにシステムのアップデートはメーカーなどが行うべきものだ。国内で販売されているスマートフォンなどには、アンドロイドのバージョンアップ以外にもアップデートが提供されるものがいくつもある。これは、セキュリティ上の問題や不具合などを修正したシステムアップデートで、この中に更新されたWebViewがあったことは少なくないだろう。

WebViewは、インターネットからHTMLなどを読み込んで動作するため、セキュリティホールになりやすいモジュールであり、攻撃されやすい部分である。また、このためにセキュリティについてのレポートが多くなっている。ここだけが「弱点」というわけではないが、他のモジュールよりは、外部から攻撃されやすい場所といえる。