Android 7.0 が発表されたわけだが
Android 7.0 が発表されて、報道も多い。前職での端末開発は Android 5.0 ぐらいまで、Android 6.0 は調査しかしてないし、最新の 7.0系となるともうNDAベースの情報が入る立場でもないし、オープンソースのAOSPも目を皿のようにして追う時間は再就職活動の中ではないので表面的な発表を眺めているだけだけど。
ただ、もうこの領域は、日本はもうだめなんだろうな。開発だけじゃなくて、利用の面でも暗くなっていく。先日のポケモンGOリリースで、「ポケモンGOが動かない」ということで、Android端末の買い替えがそこら中で発生していた。ポケモンGOのAndroid版でのバージョン要件は Android 4.4以降。つまり、今までAndroid 4.2 とかの、ソフトウェア的には化石といっていいものが世の中の大多数で使われていた。原因はわかっている。安価なSoCベースの端末でチップベンダのサポートがAndroid 4.2しかなかったものが企画として長生きしすぎた。そして、その価格層の端末を持っていた人々は、最新版の端末に乗り換えることはない。流通在庫の Android 4.4 あたりを安く手に入れる。そういった端末に、最新バージョンが提供されることも、適切なセキュリティパッチが提供されることも、正直なところ期待できない。
Googleも以前は Androidのセキュリティライフサイクルに関する意識は酷いものだったが、昨年ぐらいから劇的に改善している。今や、毎月のセキュリティ更新と、その内容を具体的に公表するに至っている。
これと前後して、Googleは Android にも、セキュリティバグの報奨金プログラムを走らせている。結果、起きているのは金と名誉をかけてのセキュリティバグの大量通報だ。とくにここ1年近くは、Androidのメディア再生システムまわりのセキュリティバグが大量に掘り起こされている。毎月複数の重大な脆弱性が発表されてきたといっていい。細かい技術的な説明は略すが、これは必然といっていい事態だった。Googleも単なる穴塞ぎに終始しているわけではなく、Android 7.0ではメディアシステムの完全な再設計で影響の低減に努めている。
このほかにも、Android 7.0 では、端末のセキュリティの大幅な強化が図られている。これらの変化は、おそらく、Android 4.4での SELinuxによる強制アクセス制御の有効化の時に匹敵する、あるいはそれ以上の防御の強化だろう。もちろん、ソフトウェアの大幅な変更はそれ自体がバグを生むリスクはあるが、それも収束すれば Android はとても安全になる…。
といっても、それは常に最新のOSを適切に使えば、の話。Googleご謹製の Nexus や Android Oneはともかく、他のベンダーはどうだろうか。ざっくりみて、Sony Xperia や Samsung GALAXY といったハイエンド機種はともかく、日本市場のミドルからローエンド機種のほとんどで、そんなことは期待できないのではないだろうか。
一方、Googleが発表している脆弱性の通報者をみると、Google外についてはここ最近は圧倒的に中国企業からの通報が多い印象。Googleは中国では事業していないんだけどね。「スマートフォンのパフォーマンス最適化アプリ」とかの詐欺まがいの広告で評判があまりよろしくない 360 さんあたりが実は脆弱性通報の常連であり、あそこのマルウェアスキャナは端末脆弱性も可能な限りリストアップしてくれたりする。今この領域では、日本人や日本企業の存在は非常に薄い感じにみえる。
で、これってどうなんでしょうね。誠実に通報している中国企業が悪いわけじゃないんだが、中国国内でそういうことが評価されるメカニズムがまわっている一方で、同等程度の能力をもつ、ブラックハットの方々も結構いるんじゃないですかね。一方で、日本企業は Android を安全に使うことについて、あまりにも無関心なんじゃないか、そういう気がするんですよ。
