2 週間前、セキュリティを専門とする調査会社は、古い WebView の多くの欠陥が古いバージョンの Android に存在することを明らかにしました。その後、この同じ会社は、Google がそれらを修正するつもりはないと報告した。 Android 開発者の 1 人は今週末、Google が古い WebView を Android 4.3 およびその以前のバージョンから更新する予定がない理由を説明しました。
早速事実を思い出してみましょう。約2週間前、調査会社Rapid7は次のように説明した。古い WebViewAndroid 4.3 以前のバージョンに存在するこの機能には重大な欠陥がたくさんありました。 WebView は、アプリケーション開発者が Web ページを表示するためのプログラムを自分で開発しなくても、Web ページを表示できるようにする Android コンポーネントです。その後、Rapid7 は Google に連絡してこれらの欠陥について警告しましたが、Android 開発者がアップデートすることに疑問の余地はないと言われました。その後、そのニュースは小さなスキャンダルを引き起こした。
Google はついに、この WebView 事件に対して時間をかけて対応しました。より正確に言えば、Google が古いバージョンの WebView を更新するつもりがない理由を説明したのは、Android セキュリティ責任者の 1 人である開発者の Adrian Ludwig でした。彼の Google+ アカウントで。 Adrian Ludwig 氏はまず、この WebView の欠陥を修正する非常に簡単な方法があることを説明しています。スマートフォンを Android KitKat または Lollipop に切り替えます。結局のところ、新しい WebView は KitKat の Chromium に基づいており、メーカーがデバイスを更新することを妨げるものは (またはほとんど) ありません。おそらく完全に誠意があるわけではありませんが、純粋に実践的な観点から立った議論です。
古い WebView のアップデートについて、Adrian Ludwig 氏は次のように説明しています。現在、更新するのは非常に複雑です。WebView の古いバージョンには現在 500 万行以上のコードが含まれており、数百人の開発者が数千の新しいコードを継続的に追加していると同氏は説明します。コミットする毎月。したがって、この WebView でセキュリティ更新を実行することは非常に複雑であるだけでなく、修正するよりも多くの問題を引き起こす可能性があります。さらに、KitKat にアップデートされるデバイスが増えるにつれて、この古い WebView のセキュリティ上の欠陥の影響を受けるユーザーの数は日に日に減少していると彼は付け加えました。
最後に、Adrian Ludwig は、古い WebView なしでは実行できない場合にいくつかのアドバイスを提供します。したがって、Web ページ (Chrome や Firefox など) を表示するために WebView の代わりに安全な Web ブラウザを使用することを提案し、開発者は暗号化されたページ (HTTPS の) など、信頼できる Web ページでのみ WebView を使用することを提案します。最悪の場合、開発者はバージョン 4.3 以前でインストールされた Android デバイス用に独自のツールを開発し、欠陥を恐れることなく Web ページを表示することができます。言い換えると、 "管理»
Chiyoye