Google Play経由で対応するグーグル
システムのアップデートが必ずしも行われないというのは、アンドロイドが抱える問題であり、グーグルも問題としては認識していたようだ。というのも、グーグルは、自身のアプリケーションなどをシステムのアップデートとは切り離し、Google Play経由で配布するように変更しており、メーカー独自のアプリなどもGoogle Play経由で配布することを推奨している。
さらには、いくつかのシステムコンポーネントに関しても、Google Play経由で配布できるようにした(以前はアプリのみしか配布できなかった)。たとえば、「Google Play開発者サービス」というシステムコンポーネントは、すでにGoogle Play経由となり、過去の機種にもアップデートが配信されるようになった。
また、Lollipopでは、WebViewのGoogle Playでの配布が可能になった。過去のアンドロイドに対してもWebViewを配布すればいいじゃないかと思われるが、Lollipop以前はシステムのモジュールとして保護されているため、Google Playなどからダウンロードしたファイルで置き換えることは難しい。可能にするには、個々のハードウェアをアップデートしてシステムを書き換える必要がある。
WebViewは、Android 4.4(KitKat)で従来のWebKitベースからChrominiumベースへと変更になっている。WebKitは、iOSで使われているオープンソースのWebコンポーネントで、Safariのベースになるコンポーネントだ。4.3(Jelly Bean)までは、WebKitを使ったWebViewが使われていた。
Chrominiumとは、クロームブラウザなどの開発をするオープンソースプロジェクトの名称で、現在、WebKitとは別のソースコードを採用している。Windows用やアンドロイド用のクロームブラウザは、このChrominiumをベースにして開発されている。アンドロイドには、元々「インターネット」、「ブラウザ」などの名称のWebブラウザが搭載されているが、こっちは、WebKitベースのものだ。これについては、記事にあるようにGoogleはすでに更新を停止している。このため、メーカーが最大限努力したとしても、潜在的なセキュリティを含め、リスクが存在している。
少なくとも、ブラウザとしてクロームが利用できるなら、最新のコンポーネントが利用されるようだが、クロームを利用できるのはAndroid 4.0以降である。また、アプリがWebViewを使っている場合、KitKat以前では、古いWebViewが利用され、セキュリティ的な問題が出る可能性がある。
ただし、現在のGoogle Playのルールでは、Webブラウザと同じように単にWebページを表示するだけのアプリや、自分で管理していないWebサイトへアクセスするアプリ、アフェリエイト関連のトラフィックを発生させるアプリや、そうした振る舞いをごまかすようなアプリはルール違反として配布が禁止されている。
このため、古いWebViewコンポーネントを使うアプリが直ちに危険ということではないが、自分の管理しているサイトであっても、侵入されて何かを「仕込まれる」可能性は否定できず、ある程度のリスクが残る。