脆弱性の検証ツール「Metasploit」の開発元のRapid7の研究者Tod Beardsley氏が、ブログで報告しています。
同氏によると、GoogleはこれまではAndroid 4.3 Jelly Beanの脆弱性を指摘された場合すぐに対応していたとのこと。
ところが、今回Android 4.4よりも前のバージョンに採用されているWebViewの脆弱性を報告したところ、Googleの担当者(security@android.com)から「Android 4.4よりも前のバージョンのWebViewで見つかった脆弱性については、我々自身がパッチを開発することは一般的にはないが、報告を含むパッチの提供は歓迎する。脆弱性はメーカーへの通知以外の対応はできない」と返信されたとのことです。
Googleの報告によると、2015年1月5日時点でのAndroid OS全体の中でAndroid 5.0 Lollipopのシェアは0.1%もなく、Android 4.4 KitKatが39.1%となっていて、残り約60%をAndroid 4.3 Jelly BeanまでのOSバージョンが占めている状況です。
にも関わらず、現時点で過半数を占めるOSバージョンへのサポートが打ち切られたことにより、同氏によると9億3千万台以上のAndroidデバイスがGoogleのセキュリティパッチの対象外になっているとのことです。
source:Rapid7 via:ITmedia