وفقًا للالتزام الأخير الذي اكتشفناه في مشروع Android مفتوح المصدر، تستعد Google للتمييز بين مستوى تصحيح أمان البائع وتصحيح أمان Android Framework مستوى. يتيح ذلك لمصنعي المعدات الأصلية الحفاظ على تحديث Android أثناء انتظار موردي الأجهزة لتقديم الإصلاحات.
لفترة طويلة من تاريخه المبكر، كان نظام Android يتمتع بسمعة كونه أقل أمانًا من نظام التشغيل iOS بسبب نهج Apple "الحديقة المسورة" في التعامل مع التطبيقات. ما إذا كانت هذه السمعة السابقة تستحق أم لا، فهذا ليس شيئًا سنتعمق فيه، ولكن من الواضح أن Google قد خطت خطوات كبيرة في تأمين Android ضد نقاط الضعف. ولا يقتصر الأمر على قيام الشركة بتوفير ميزات أمان جديدة في الإصدار الأحدث من نظام التشغيل Android، أندرويد ص، لكنهم يقدمون أيضًا "الأمان على مستوى المؤسسة" في أحدث أجهزتهم بفضل وحدة أمان الأجهزة في Google Pixel 2/2 XL. يتطلب الحفاظ على أمان الجهاز أيضًا تحديثات مستمرة لتصحيح جميع أحدث التهديدات أيضًا، ولهذا السبب قامت Google بذلك النشرات الأمنية الشهرية لجميع صانعي الأجهزة والبائعين لدمج التصحيحات ضد جميع نقاط الضعف النشطة والمحتملة المعروفة. الآن، يبدو أن الشركة قد تقوم بإجراء تغييرات على نظام Android Security Patch من خلال توفير طريقة لذلك
التمييز بين مستوى تصحيح إطار عمل Android ومستوى تصحيح البائع جنبًا إلى جنب مع أداة تحميل التشغيل والنواة وما إلى ذلك. إما لتقسيم مستويات تصحيح الأمان حتى يتمكن مصنعو المعدات الأصلية من توفير تحديثات إطار عمل خالصة أو تحديد مستوى التصحيح الذي يقومون بتشغيله للمستخدم بشكل أفضل.تصحيحات أمان Android الشهرية - كتاب تمهيدي
نعلم جميعًا أهمية التصحيحات الأمنية، خاصة بعد الكشف عن سلسلة من الثغرات الأمنية البارزة في النصف الثاني من العام الماضي. ال ثغرة بلوبورن هاجم بروتوكول البلوتوث وتم تصحيحه في التصحيحات الشهرية لشهر سبتمبر 2017, كراك يستهدف نقطة ضعف في Wi-Fi WPA2 وتم تصحيحها ديسمبر 2017، وتم إصلاح ثغرات Spectre/Meltdown في الغالب باستخدام تصحيحات يناير 2018. يتطلب تصحيح الثغرات الأمنية مثل هذه عادةً التعاون مع بائع الأجهزة (مثل Broadcom و Qualcomm) لأن الثغرة الأمنية تتعلق بأحد مكونات الأجهزة مثل شريحة Wi-Fi أو Bluetooth أو وحدة المعالجة المركزية. ومن ناحية أخرى، هناك مشكلات في نظام التشغيل Android مثل هذه نخب رسالة تراكب الهجوم التي تتطلب فقط تحديث Android Framework لإصلاحها.
عندما تطرح Google تصحيحًا أمنيًا شهريًا، يُطلب من صانعي الأجهزة إصلاح جميع نقاط الضعف تم توضيح ذلك في النشرة الأمنية لهذا الشهر إذا كانوا يريدون أن يقولوا أن أجهزتهم آمنة حتى هذا التصحيح الشهري مستوى. يوجد كل شهر مستويان من تصحيح الأمان يمكن للجهاز استيفاءهما: مستوى التصحيح في اليوم الأول من الشهر أو اليوم الخامس من الشهر. إذا قال الجهاز أنه يقوم بتشغيل مستوى التصحيح اعتبارًا من اليوم الأول من الشهر (على سبيل المثال. 1 أبريل بدلاً من 5 أبريل) فهذا يعني أن الإصدار يحتوي على جميع تصحيحات إطار العمل والموردين من إصدار الشهر الماضي بالإضافة إلى جميع تصحيحات إطار العمل من أحدث نشرة أمنية. من ناحية أخرى، إذا أعلن الجهاز أنه يعمل على مستوى التصحيح اعتبارًا من اليوم الخامس من الشهر (5 أبريل، على سبيل المثال)، فهذا يعني أنه يحتوي على كافة تصحيحات إطار العمل والموردين من الشهر الماضي وهذا الشهر نشرة. فيما يلي جدول يوضح الفرق الأساسي بين مستويات التصحيح الشهرية:
مستوى التصحيح الأمني الشهري |
1 أبريل |
5 أبريل |
|---|---|---|
يحتوي على تصحيحات إطار عمل أبريل |
نعم |
نعم |
يحتوي على بقع بائعي أبريل |
لا |
نعم |
يحتوي على تصحيحات إطارية لشهر مارس |
نعم |
نعم |
يحتوي على بقع بائعي شهر مارس |
نعم |
نعم |
ربما تكون على دراية بمدى كآبة حالة التصحيح الأمني في نظام Android البيئي. يوضح الرسم البياني أدناه أن Google وEssential توفران أسرع تحديثات التصحيح الأمني الشهرية بينما تتخلف الشركات الأخرى عن الركب. قد يستغرق الأمر شهورًا حتى تقوم الشركة المصنعة للمعدات الأصلية (OEM) بإحضار أحدث التصحيحات إلى الجهاز، مثل كيفية ون بلس 5 و ون بلس 5T تلقى مؤخرا التصحيح الأمني لشهر أبريل عندما كانوا في السابق في رقعة ديسمبر.
حالة تصحيح أمان Android اعتبارًا من فبراير 2018. مصدر: @ثانيةX13
المشكلة في توفير تحديثات Android Security Patch لا تكمن بالضرورة في أن مصنعي المعدات الأصلية كسالى، حيث قد يكون الأمر خارجًا عن سيطرتهم في بعض الأحيان. كما ذكرنا سابقًا، غالبًا ما تتطلب تحديثات التصحيح الأمني الشهرية تعاون الأجهزة البائع، مما قد يتسبب في حدوث تأخيرات إذا كان البائع غير قادر على مواكبة التصحيح الأمني الشهري نشرات. لمكافحة ذلك، يبدو أن Google قد تبدأ في فصل مستوى تصحيح أمان Android Framework عن مستوى تصحيح البائع (وربما مستوى أداة تحميل التشغيل ومستوى النواة) حتى يتمكن مصنعو المعدات الأصلية في المستقبل من توفير أمان إطار عمل Android تمامًا التحديثات.
تحديثات أسرع لتصحيح أمان Android لثغرات إطار العمل؟
جديد يقترف ظهر في مشروع Android مفتوح المصدر (AOSP) الذي يلمح إلى "تصحيح أمان البائع". prop" والتي سيتم تعريفها في ملفات Android.mk عندما يتم إنشاء إصدار جديد لجهاز ما مخلوق. سيتم تسمية هذه الخاصية "ro.vendor.build.security_patch"وسوف يكون مثله"ro.build.version.security_patch" الموجود حاليًا على جميع أجهزة Android لتحديد مستوى تصحيح أمان Android الشهري.
ستخبرنا هذه الخاصية الجديدة بدلاً من ذلك بـ "VENDOR_SECURITY_PATCH" على مستوى الجهاز، والذي قد يتطابق أو لا يتطابق مع مستوى تصحيح أمان Android Framework. على سبيل المثال، قد يعمل الجهاز على أحدث تصحيحات إطار العمل لشهر أبريل 2018 بالإضافة إلى تصحيحات المورد لشهر فبراير 2018. ومن خلال التمييز بين مستويي التصحيح الأمني، من الممكن أن تنوي Google السماح لمصنعي المعدات الأصلية بشحن أحدث تصحيحات الأمان لنظام التشغيل Android على الرغم من أن البائعين لم يقدموا تصحيحات محدثة لهذا التصحيح الشهري مستوى.
بدلاً عن ذلك، جوجل قد يعرض فقط الحد الأدنى من مستويي التصحيح (إلى جانب مستويات أداة تحميل التشغيل وتصحيح kernel) من أجل إظهار المستخدم بشكل أكثر دقة للتصحيح الأمني الذي تم تشغيله على أجهزته. ليس لدينا حتى الآن تأكيد بشأن النية وراء هذا التصحيح، ولكننا نأمل أن نعرف المزيد قريبًا.
على أقل تقدير، سيكون هذا مفيدًا لأولئك منا مشروع التريبلصور النظام العامة (GSIs) وغيرها من ROM المخصصة المستندة إلى AOSP، حيث توفر ROM المخصصة في كثير من الأحيان تحديثات إطار العمل فقط دون تصحيح جميع البائعين، أداة تحميل التشغيل، وتصحيحات kernel التي يتم تحديدها في نشرة أمنية شهرية، وبالتالي فإن عدم التطابق يسبب ارتباكًا بين المستخدمين أثناء قيامهم بذلك يعتقدون أنهم يقومون بتشغيل أحدث التصحيحات بينما في الواقع يتم تصحيح أجهزتهم جزئيًا فقط وفقًا لأحدث الأمان الشهري نشرة.