Google、Android Jelly Beanおよびそれ以前のバージョンのWebviewコンポーネントの更新提供を停止

900万以上のユーザーが放置される、GoogleがAndroid 4.3 Jellybeanおよびそれ以前のバージョンのWebviewコンポーネントのセキュリティパッチ提供を停止したと発表

悲しいことですが、事実です。スマートフォンでAndroid 4.3およびそれ以前のバージョンのオペレーティングシステムを使用している人々の中で、GoogleがAndroid Same Origin Policy (SOP) の脆弱性を修正するのを待っている場合、残念ながらGoogleからは修正は提供されません。

パキスタンのセキュリティ研究者ラファイ・バロックによって発見されたAndroidのレガシーSOPの欠陥は、Android 4.3 Jelly Beanおよびそれ以前のバージョンで動作する約930,000台のスマートフォンに搭載されているAndroidデフォルトブラウザのWebviewコンポーネントに影響を与えます。

WebViewコンポーネントの脆弱性は、特定のHTMLオブジェクトの‘data’属性をJavaScript URLスキームで置き換えるときに発生します。潜在的なハッカーは、このUXSSの欠陥を利用して、脆弱なブラウザウィンドウからクッキー情報やページ内容をスクレイピングすることができます。

このセキュリティホールは、Androidオープンソースプラットフォーム（AOSP）ブラウザのすべてのバージョンで悪用される可能性があり、これはAndroidのストックまたはデフォルトブラウザとしても知られています。この脆弱性は、Android OS 4.3 Jellybeanおよびそれ以前のバージョンにのみ存在します。

Rapid7のジョー・ヴェニックスとラファイは、この脆弱性のためにMetasploitコードを作成し、Googleや他のスマートフォンメーカーがこの欠陥を修正できるようにしました。

しかし、パッチは提供されませんでした。その間に、Trend Micro Labsは、Metasploitコードが実際に悪用されていることを発見し、Android 4.3 Jellybeanおよびそれ以前のバージョンで動作するスマートフォンを持つユーザーのFacebookアカウントをハイジャックするために使用されていました。

Rapid7はGoogleにこの重要な脆弱性を修正するよう連絡しましたが、Googleから衝撃的な返答を受け取りました。GoogleはAndroid 4.3 Jelly Beanおよびそれ以前のバージョンのセキュリティパッチの提供を停止しました。これは、Metasploitからのセキュリティ研究者がGoogleから受け取った返答です。

「影響を受けるバージョン[のWebView]が4.4以前の場合、一般的に私たちは自らパッチを開発することはありませんが、報告に基づくパッチを歓迎します。OEMに通知する以外には、パッチが伴わない4.4以前のバージョンに影響を与える報告に対しては、何らかの行動を取ることはできません。」

驚いたセキュリティ研究者、Rapid7 Metasploitコミュニティのトッド・ビアズリーは、ブログ投稿で報告しました。

「つまり、Googleはもはや4.3のパッチを提供しないということです。これは驚くべきニュースです。」彼は付け加えました。「私は、報告者が自分自身のパッチを提供することに基づいている脆弱性対応プログラムを見たことがありませんが、それがGoogleの立場のようです。このセキュリティポリシーの変更は非常に奇妙で、実際に公式のGoogleポリシーであるとは信じられませんでした。」

彼のショックを確認するために、トッドはGoogleのセキュリティチームに再度問い合わせ、同様の返答を受け取りました。

影響を受けるバージョン[のWebView]が4.4以前の場合、一般的に私たちは自らパッチを開発することはありませんが、パートナーに問題を通知します[…] 報告にパッチが提供されるか、AOSPに組み込まれた場合、私たちはそれをパートナーに提供することを喜んで行います。

Googleは、古いAndroidバージョンのWebviewコンポーネントのみのサポートを停止したようです。トッドがさらに問い合わせたところ、「Androidセキュリティチームは、マルチメディアプレーヤーなどの他のKitKat以前のコンポーネントは、引き続きバックポートされたパッチを受け取ることを確認しました。」と言われました。

問題は、現在のところ、古いAndroidバージョンのWebviewコンポーネントのみが脆弱であるとされ、Trend Micro Labsによって実際に悪用されていることが証明されています。 このコンポーネントは、AndroidスマートフォンユーザーがSOPの脆弱性によって悪用されないように、すぐにすべてのバージョンでパッチを適用する必要があります。

これにより、930万台のスマートフォンが潜在的なハッカーやサイバー犯罪者によって悪用されるのを待っていることを意味します。Googleの最新のAndroid配布データによると、Androidデバイスの46％がJelly Beanを実行しており、次いでKitKatが39.1％です。残りのAndroidユーザーはGingerbread（バージョン2.3.3-2.3.7、7.8％の携帯電話で使用）、Ice Cream Sandwich（バージョン4.0.3から4.0.4、6.7％で使用）、および古いFroyo（バージョン2.2、0.4％）を使用しています。

トッド・ビアズリーは、これをGoogleによる最も「奇妙な」決定だと述べました。

過去にこれらのスマートフォンを販売したスマートフォンメーカーは、もはやこれらのビルドに対してパッチ/サポートを提供することに興味を示していません。では、Android 4.3およびそれ以前のバージョンを搭載した何百万ものAndroidスマートフォンユーザーを保護するために、この重要な脆弱性のパッチを誰が提供するのかは、誰にもわかりません。