GoogleのAndroidチームは、現在Google Playにアクセスしているアクティブユーザーの端末の大部分が「KitKat 4.4より前のバージョン」のソフトウェアを搭載しているにもかかわらず、Jelly Bean以前のリリースで発見されたセキュリティバグは今後修正しないと外部のセキュリティ研究者に通知しました。一方、Android 5.0を受け取ったAndroidユーザーはわずか0.1%未満で、受け取ったユーザーからは「未完成/洗練されていない」体験を報告されています。
Google の最新の Android バージョン配布データによると、2013 年後半に iOS 7 の直後に初めてリリースされた Android 4.4 KitKat を使用しているアクティブ ユーザーはわずか 39.1% です。Google の最新リリースである Android 5.0 Lollipop は、Google Play のアクティブ インストール ベース (中国を含む市場における Amazon や Google 以外の Android デバイスは含まれません) の 0.1% にも達していません。
対照的に、Appleのユーザーは現在68%がiOS 8を使用している一方、29%は1年前のiOS 7を依然として使用しています。以前のリリースを使用しているのはわずか4%です。しかし、Appleは古いデバイス向けにiOS 6のパッチを継続的に提供しており、2009年モデルのiPhone 3GS向けに最新の6.1.6アップデートを昨年2月にリリースし、「goto fail」脆弱性を修正しました。
セキュリティグループ Rapid7 によって伝えられたニュースによると、Google は、WebView (iOS の Safari WebKit に相当) を含む、KitKat 以前の Android で新たに発見された脆弱性を修正しないことを発表した。
Android WebView にはパッチ適用が必要なバグが多数存在します。セキュリティ研究者の Rafay Baloch 氏と Joe Vennix 氏、そして Metasplot 脆弱性悪用ツールの他の貢献者たちは、Jelly Bean 以前の Android WebView を標的としたアクティブなエクスプロイトを少なくとも 11 件特定しています。
Androidの大きな失敗は修正されない
Android WebView のセキュリティ記録は悲惨なもので、システム全体で使用されているため、これは重大な問題です。その大きな欠陥の一つは、Adobe Flash のハードワイヤードサポートが組み込まれていることです。Google は当初、これを Android の機能として宣伝していましたが、後にこの独自ミドルウェアはモバイルデバイス上でサポートおよびセキュリティ保護することが事実上不可能であると認めました。これは、スティーブ・ジョブズが2008年と2010年に述べた通りです。
Google は最終的に、Android 上で Flash を動作させる取り組みを断念しましたが、Jelly Bean に至るまでの Android と Flash の親密な関係を他のエクスプロイトが利用できるようにする安全でないコードを保持しました。
たとえば、Android のバグのある WebView では、BlueBox Security が昨年の夏に発見した脆弱性である Fake ID が有効になり、Flash を装ってサンドボックスを回避し、Salesforce や Microsoft OneDrive などのアプリ内を調べてアプリからデータを取得し、アプリのネットワーク トラフィックを盗聴して、それらのアプリが保持する追加の権限を取得することで、システム全体でユーザーのデータにアクセスできるようになりました。
WebViewは、システムブラウザやWebViewをバンドルしたアプリ内でウェブページをレンダリングするために使用されます。4.4 KitKatでは、GoogleはChromiumベースの新しいウェブレンダリングエンジンに切り替え、Flashの痕跡をすべて削除しました。そのため、Chromium以前のユーザーへのサポートを中止するというGoogleの方針により、ほとんどのAndroidユーザーは、既知の様々な脆弱性に対して脆弱な状態に置かれています。
GoogleのAndroidインストールベースはAppleとは正反対で、ユーザーの大半(46%)が「Jelly Bean」(iOS 6以前)を使い続けており、39%がiOS 7時代のKitKatを使い続け、最新の「Lollipop」(iOS 8と同じバージョン)にアップデートしている人はほぼ皆無だ。さらに6.7%が依然としてAndroid 4.0を使用しており、8.2%(Google Playのアクティブユーザー)は2010~2011年の古いバージョンのAndroid 2.x(iOS 3~5と同じバージョン)を依然として使用している。Androidのアップデート問題は改善するどころか、2011年と同程度、あるいはそれ以上に悪化しているようだ。
Android のアップデートは常に遅れているが、その理由の 1 つは、ほとんどのユーザーがアップデートをインストールする前に、Google のソフトウェアがメーカーや通信事業者による何層ものテストと調整を経てようやくインストールできるまで待たなければならないことだ。
Android のアップデート問題は改善するどころか、Android が発売されてからわずか 3 年で、Google が迅速なアップデートを提供できないことが実際の問題として浮上し始めた 2011 年と同程度か、それ以上に悪化しているようです。
Googleのアップデートが遅れている原因の一つは、販売されているAndroidデバイスのほとんどが、新しいソフトウェアを実行するための機能をほとんど備えていないことです。Facebookは最近、同社のソフトウェアを搭載したAndroidデバイスの66%が、2011年のiPhone 4と同等(あるいはそれ以下)のハードウェア仕様であると指摘しました。
GoogleのNexusブランド製品のユーザーでさえ、わずか1年半でアップデートを受けられなくなる可能性が高い。例えば、Googleは昨年のKitKatを、Samsung製のGalaxy Nexus(2011年末にiPhone 4Sと同時に発売されたスマートフォン)のユーザーには提供しなかった。
Android 5.0 Lollipopは入手困難、バグだらけ
現時点では、Google の Nexus 7 タブレット (現在も販売中) のユーザーからも、昨年の夏に初めて発表された際にこのデバイスが新しいソフトウェアを実行できると Google が大々的に宣伝していたにもかかわらず、Android 5.0 Lollipop のアップデートをまだ受け取っていないという報告が上がっています。
Forbesの記事「なぜ誰もAndroid 5.0 Lollipopを使っていないのか?」について、読者のポール・アームストロング氏は次のようにコメントしている。「Nexus 7 2013がOTA(無線)アップデートを受信していないことについてGoogleに電話したところ、CSRから、GoogleはまだNexusデバイスに5.0 OTAアップデートを展開中だと言われました。
注文は購入場所に基づいており、Googleから直接購入していないため、より長く待たなければならないと言われました。展開がいつ完了するか、予想もできないし、OTAアップデートがいつ受け取れるかもわからないと言われました。そこで、Nexus 7で5.0を入手する他の方法はないかと尋ねたところ、できないと言われました。待つしかないと言われました(ダウンロードアップデートもあるんじゃないの?)。
「Android 5.0 の市場シェアが小さい理由は 2 つあります。1) Google が自社のデバイスにこれを展開していない。2) キャリアがまだ (ほとんどの場合) 顧客のデバイスの大多数にこれを展開していない。」
Android 5.0 を受け取った Nexus ユーザーは、Apple が iOS 8 で経験したのと同様、Google も重大なソフトウェア リリース バグに悩まされていると指摘しています。読者の「LazyHazy」さんは次のように書いています。「私は Nexus 4 がアップデートを受けた 11 月から Android Lollipop を使用しており、その後 5.0.1 にアップデートしました。
「ジョー・パスタ氏の意見には同意しますが、Lollipopはまだ未完成で洗練されていない部分があり、Googleは市場全体にリリースする前にバグを修正しているところです。Nexusユーザーは、他のユーザーが最新のAndroidアップデートを受け取るまでの「クラッシュテストダミー」のような役割を果たしています。ただし、Nexus 7ユーザーは例外です。Lollipopは現在このデバイスのパフォーマンスを低下させているため、OTAアップデートが停止しているのです。」
「私たちNexusユーザーが市場の0.1%未満を占めているとは知りませんでした。初期段階での問題はあったものの、今ではかなり恵まれていると感じています。」
AndroidファンサイトGottaBeMobileによると、Nexus端末ユーザーに限定されているものの、Android 5.0.1アップデートでは「職場で無線LANに接続できない、Nexus 7で画面が回転しない、Android 5.0.1インストール後にWi-Fiで様々な問題が発生する、Android 5.0.1インストール時に問題が発生する、Googleの「OK Google」機能に問題が発生する、Wi-Fiにさらに多くの問題が発生する、アップグレード後にサウンドに問題が発生する、Bluetoothに問題が発生する、ホームボタンに問題が発生する、といった苦情が寄せられている。また、通知が表示されていたのに消えてしまったという声も上がっている。これはまだ表面的な問題に過ぎず、今後、Android 5.0.1ユーザーからの苦情は間違いなく増えていくだろう」とのことだ。
昨年11月、BBCはNexusの早期導入者から報告されたAndroid 5の問題について特集し、アップデートによってデバイスが「使えなくなった」と訴えるユーザーを取り上げていた。その中には、クリステン・ソーヤーさんも含まれており、「一部のアプリが動作せず、クラッシュする。アップデートをインストールしなければよかった」と訴えている。
別のユーザーは「Chromeは死んでいて使えない。Firefoxはなんとか使える。キーボードの読み込みに1分以上かかる。キーボードを叩けばほぼ使えるのに、スワイプしようとすると使えなくなる」と述べている。Android 5.0 Lollipopは「驚くほどひどくて、基本的に使えない」
Nexus ユーザーの Gary Looker 氏は、Android 5 のアップデートは「驚くほどひどく、基本的に使用できず、画面を回転するだけでも遅延し、すべてのタスクの実行に 10 秒もかかる」と述べた。
「Google Nowをオフにして、トランジションをゼロに変更し、バックグラウンドアプリを最大2つに制限しました。皆さんのアドバイス通りです。こんなことをしなくてもいいはずです。そうしないと、多くの人がどこに頼ればいいのか、誰の言うことを聞けばいいのか分からなくなってしまうでしょう。」
昨年9月、Appleの新しいiPhone 6ユーザーも、iOS 8.0.1の欠陥により、動作が停止するバグに遭遇しました。Appleは翌日には問題を修正しました。それから2ヶ月が経ちましたが、GoogleのNexusユーザーはAndroid 5 Lollipopの修正を依然として待っています。
