HIKKIE

PC / スマートフォン / ガジェット好きのひきこもりライフログBlog

Google Play システムアップデートが出来ない問題について

アイキャッチ

(10/12:Android 12 AOSPでの公開に伴い一部内容を修正)

Google Play システムアップデートはAndroid 10から導入されたシステムアップデートの配信方式です。比較的最近になって導入されたこともあって機種変更したら増えていたセキュリティ項目を疑問に思ったり、セキュリティアップデートとは別に存在する項目がなかなか更新されないことを不安に思われる方がときどきいらっしゃいます。

Project Mainline(Google Play システムアップデート)

Google Play システムアップデートは別名をProject Mainlineと言い、端末のメーカーや販売を行っている通信キャリアなどのベンダーが提供、配信するセキュリティアップデートと違い、Android OSを開発しているGoogleによって別々のチャンネルで配信されるものです。

端末のメーカーや通信キャリアなどが提供するセキュリティアップデートよりも修正が提供されるモジュールは限定的で、すべての脆弱性を塞ぐことが出来るわけではありません。しかし、セキュリティアップデートが提供されない、打ち切られてしまった端末を何もしないで放置しているよりはずっとマシだろう…ということで、ある程度セキュリティ環境を改善することが出来ます。

Project Treble

元々GoogleはProject Trebleと銘打ってAndroidのアップデートをより速く、簡単に実装出来る仕組みを整備したり(Android O、つまりAndroid 8より)、QualcommやMediaTek、Samsungといったチップセットのベンダーと協業してOSのアップデートをより多く、長く提供するための取り組みを行っています。

また、2019年以降の新しいスマートフォンでは最低でも2年、最初の1年間に4回はアップデートを提供するように義務化しています。実際に、世界最大手であるSamsungは最低2年を保証していたセキュリティアップデートを新しい機種では4年に延長しています。

ただ、これらの義務化はOEMベンダーの販売規模に応じて基準が変更され、販売規模の極めて少ないスマートフォンにおいては適応されない可能性があります。

(モデルごとに最低100,000台とのことなので、4MNOが取り扱う主要なOEMベンダーの機種であれば突破していると思われますが、EC専売や小規模事業者のオリジナル端末が超えているかは微妙なところです。)

実際にどんな修正が提供されるか

Available modules

Android オープンソースプロジェクトより。赤塗はAndroid 12で変更されたモジュール。

具体的なアップデートの対象となるモジュールはAndroidのサイトに掲載されています。と言っても、表を見ても何がなんだか分からないと思いますが、Google Play システムアップデートではAndroid ランタイム(人間が理解出来る言語で書かれたプログラムを機械の言葉に翻訳するOSの基幹部分)やネットワークに接続するための構成要素にもし脆弱性が見つかったとき、修正出来るようになっています。
また、画像や音声、映像を処理する仕組みの脆弱性も修正出来るようになっています。画像や音声、映像を処理する仕組みに存在する脆弱性が放置されていると、SNSなどでアップロードされている画像や動画を閲覧しただけでマルウェアに感染するといった被害も想定されるため、Googleが直接アップデートを配信出来たほうが安全です。

具体的に2021年8月のアップデート内容を確認してみると、パッチレベル2021-08-01でフレームワークで3件、メディアフレームワークで1件、システムで5件の脆弱性。
パッチレベル2021-08-05で、2021-08-01の修正に加えカーネルコンポーネントで3件、MediaTekのコンポーネントで8件、Widevine DRMで1件、Qualcommのコンポーネントで6件の脆弱性が修正されているのに対して、Google Play システムアップデートではパッチレベル2021-08-01に含まれるものと同じ脆弱性がたったの3つ修正されただけです。やまほど脆弱性が見つかっているのに修正されていないじゃないか、と思うでしょうがQualcommやMediaTekのチップセットに起因する脆弱性はGoogle Play システムアップデートでは修正することが出来ないのです。もっとも、パッチレベル2021-08-01で最も深刻な脆弱性とされるCVE-2021-0519(特別な細工をされたローカルのアプリケーションがサンドボックスを迂回できてしまう脆弱性)はきちんとGoogle Play システムアップデートで修正されています。だから、修正がなにもないよりずっとずっとマシなのです。

Google Play システムアップデートを確認してもダウンロードが始まらなくても心配する必要はない

Android 10は比較的最近リリースされたバージョンで(といってももう2年前になるが)、Google Play システムアップデートが提供されている端末はセキュリティアップデートの配信が続いている端末の割合が高いはずです。

Google Play システムアップデートは毎月のセキュリティアップデートの中からGoogleが直接端末に配信することが出来るものだけを分割して、2ヶ月から3ヶ月程度の周期で配信しているものなので、赤アイコンで表示されている=3ヶ月以上Google Play システムアップデートが更新されていない状態でない場合は問題ありません。

もしもあなたがGoogle Play システムアップデートの提供がされていない、つまりAndroid 9以前を搭載した古いAndroid端末を使っていて、定期的なセキュリティアップデートも打ち切られているようならそろそろ端末の買い替えを考えてみてもいいでしょう。Project Mainlineはまだまだ進行途上のプロジェクトで、今後もOSのバージョンが進むごとに修正出来る範囲を拡大していく予定です。新しい端末のメーカーからのセキュリティアップデートが打ち切られる頃には古い端末でももっと安全にAndroidスマートフォンを使えるようになっているかもしれません。Android 9以前の端末でもまだセキュリティアップデートが提供されているものもありますし、そんなに慌てる必要はないですけどね。

不具合でアップデートが上手くいかない場合の対処法

インストール表示が出るのに上手く更新されていないなどの問題が発生した場合は、

  • 端末の再起動
  • Play ストアアプリのキャッシュおよびデータを削除する
  • Google Play 開発者サービスのキャッシュおよびデータを削除する
  • 端末の初期化

を試してみてください。Google Play システムアップデートは文字通りGoogle Playを通してストアアプリのようにシステムの更新を配信出来るようにしたものです。Google Playに関係するシステムアプリのデータをリフレッシュすることで問題が解決する可能性が高いです。

参考・関連リンク

Modular System Components  |  Android Open Source Project

Android Architecture  |  Android Open Source Project

Android Developers Blog: Here comes Treble: A modular base for Android

Android Developers Blog: Fresher OS with Projects Treble and Mainline

Samsung Takes Galaxy Security to the Next Level by Extending Updates - Samsung US Newsroom