脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。
それによると、Googleは最近まで、Android 4.3（Jelly Bean）の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」と返事があったという。
WebViewはAndroid 4.3までのバージョンに使われていたWebページレンダリングのためのコンポーネントで、Android 4.4（KitKat）からはChromiumベースのバージョンに置き換えられている。

　OSなどのサポートを巡っては、米Microsoftがサポート期限を公表しているのに対し、GoogleやAppleは公表していない。しかしRapid7の研究者はGoogleの返答から、現時点で同社がサポートの対象としているAndroidは現行バージョンのLollipop（5.0）と1つ前のバージョンのKitKat（4.4）に限られていて、Jelly Bean（4.0～4.3）までのバージョンについては、WebViewの脆弱性修正パッチ提供が打ち切られたことが分かったと指摘した。
Googleの統計によれば、2015年1月5日の時点でLollipopの普及率は0.1％に満たず、KitKatは約39％。残る60％をJelly Beanまでのバージョンが占めている。それにもかかわらずGoogleのサポートは打ち切られ、「9億3000万台以上のAndroid携帯がGoogleの公式セキュリティパッチの対象外になっている」（Rapid7の研究者）という。

Androidのバージョン別シェア（Android Developersのダッシュボードより）
　「脆弱性が公開されているにもかかわらずアップストリームベンダーがパッチを提供するつもりがないのなら、一般ユーザーは永久に脆弱なまま放置される」と研究者は述べ、攻撃の格好の標的になりかねないと危惧。「次に脆弱性が公開された時にはGoogleが考え直してくれることを願う」と結んでいる。
現在のAndroid4.4搭載は、2013年11月1日から販売開始されたNexus5が初めてだった。Nexus 5は、LGとGoogleによって共同開発された第3.9世代移動通信システム対応のSIMフリーAndroidスマートフォンとなる。販売はGoogleによってPlayストアを通じて販売された。
それ以前のAndroid OSは4.3であり、2013年10月までに搭載された4.3以前のOSのバッチ処理は行わないとしたものだ。
OSだけ無料で提供して、エンドユーザーの利用者から儲けるというビジネスモデルのGoogleだけに、後は知らんぷりのようだ。
iOSのAppleもGoogle同様バッチ処理については表明していないというが、1年半前に購入したiPhoneのバッチ処理は自主的に行っていませんと表明すれば、大問題となろう。