هل تساءلت يومًا عن كيفية عمل تحديثات التصحيح الأمني الشهرية لنظام Android؟ لا داعي للعجب بعد الآن، فلدينا فقط الدليل التمهيدي الذي يمكنك من خلاله فهم العملية برمتها.
تنشر Google نشرات أمنية شهرية منذ أغسطس 2015. تحتوي هذه النشرات الأمنية على قائمة بالثغرات الأمنية التي تم الكشف عنها والتي تم إصلاحها والتي تؤثر على إطار عمل Android و Linux kernel ومكونات البائعين مغلقة المصدر الأخرى. تم اكتشاف كل ثغرة أمنية في النشرات بواسطة Google أو تم الكشف عنها للشركة. تحتوي كل ثغرة أمنية مدرجة على رقم نقاط الضعف والتعرض الشائعة (CVE)، إلى جانب ما يرتبط بها المراجع ونوع الثغرة الأمنية وتقييم الخطورة وإصدار AOSP المتأثر (إذا ملائم). ولكن على الرغم من العملية التي تبدو مبسطة وراء كيفية عمل تصحيحات أمان Android، إلا أن هناك في الواقع بعض الشيء ذهابًا وإيابًا معقدًا خلف الكواليس مما يسمح لهاتفك بالحصول على شهرية أو (نأمل) شبه شهرية بقع.
ما الذي يجعل التصحيح الأمني فعليًا؟
ربما لاحظت أنه كل شهر، هناك بالفعل اثنين مستويات التصحيح الأمني. تنسيق هذه التصحيحات هو إما YYYY-MM-01 أو YYYY-MM-05. في حين أن YYYY وMM يمثلان بشكل واضح السنة والشهر على التوالي، فإن الرقمين "01" و"05" لا يشيران فعليًا إلى اليوم من الشهر الذي تم فيه إصدار مستوى التصحيح الأمني هذا. بدلاً من ذلك، فإن 01 و05 هما في الواقع مستويان مختلفان من تصحيحات الأمان يتم إصدارهما في نفس اليوم من كل شهر - يحتوي مستوى التصحيح الذي يحتوي على 01 في النهاية على إصلاحات لإطار عمل Android ولكن
مستوى التصحيح الأمني الشهري |
2019-04-01 |
2019-04-05 |
|---|---|---|
يحتوي على تصحيحات إطار عمل أبريل |
نعم |
نعم |
يحتوي على بائع أبريل + بقع النواة |
لا |
نعم |
يحتوي على تصحيحات إطارية لشهر مارس |
نعم |
نعم |
يحتوي على تصحيحات March Vendor + Kernel |
نعم |
نعم |
بالطبع، قد تختار بعض الشركات المصنعة للمعدات الأصلية إدراج التصحيحات والتحديثات الخاصة بها في التحديثات الأمنية أيضًا. لدى معظم مصنعي المعدات الأصلية وجهة نظرهم الخاصة في نظام Android، لذا فمن المنطقي أنه قد يكون لديك، على سبيل المثال، ثغرة أمنية في هاتف Samsung غير موجودة في هاتف Huawei. ينشر الكثير من مصنعي المعدات الأصلية أيضًا نشرات الأمان الخاصة بهم.
- جوجل بيكسل
- هواوي
- إل جي
- موتورولا
- اتش ام دي العالمية
- سامسونج
الجدول الزمني للتصحيح الأمني من Google إلى هاتفك
تحتوي تصحيحات الأمان على جدول زمني يمتد تقريبًا إلى حوالي 30 يومًا، على الرغم من أنه لا يمكن لكل مصنعي المعدات الأصلية الاستفادة من الطول الكامل لهذا الجدول الزمني. دعونا نلقي نظرة على التصحيح الأمني لشهر مايو 2019 على سبيل المثال، ويمكننا تفصيل الجدول الزمني بأكمله وراء إنشاء هذا التصحيح. الشركات مثل ضروري إدارة للخروج من التحديثات الأمنية الخاصة بهم في نفس اليوم مثل Google Pixel، فكيف يفعلون ذلك؟ الجواب القصير والبسيط هو أنهم شريك الروبوت. النشرة الأمنية لشهر مايو 2019 تم نشره في 6 مايو، مع حصول كل من Google Pixels وEssential Phone على تحديثات شبه فورية.
ماذا يعني أن تكون شريك Android
لا يمكن لأي شركة أن تكون شريكًا لنظام Android، على الرغم من أنه من المسلم به أن جميع الشركات المصنعة الأصلية الرئيسية لنظام Android هي كذلك. شركاء Android هم الشركات التي تم منحها ترخيصًا لاستخدام علامة Android التجارية في المواد التسويقية. يُسمح لهم أيضًا بشحن خدمات Google Mobile (GMS - تشير إلى جميع خدمات Google تقريبًا) طالما أنها تستوفي المتطلبات الموضحة في مستند تعريف التوافق (CDD) واجتياز مجموعة اختبار التوافق (CTS) ومجموعة اختبار البائع (VTS) ومجموعة اختبار Google (GTS) وبعض الاختبارات الأخرى. هناك اختلافات واضحة في عملية التصحيح الأمني للشركات التي ليست كذلك شريك أندرويد.
- تتوفر تصحيحات إطار عمل Android لهم بعد دمجها في AOSP قبل يوم أو يومين من إصدار النشرة الأمنية.
- يمكن انتقاء تصحيحات kernel Linux الأولية بمجرد توفرها.
- تتوفر الإصلاحات التي يقدمها بائعو SoC للمكونات مغلقة المصدر بناءً على الاتفاقيات المبرمة مع بائع SoC. لاحظ أنه إذا منح البائع OEM حق الوصول إلى التعليمات البرمجية المصدر للمكون (المكونات) مغلقة المصدر، فيمكن أن يقوم OEM بإصلاح المشكلة (المشكلات) بنفسه. إذا لم يكن لدى OEM حق الوصول إلى التعليمات البرمجية المصدر، فيجب عليهم الانتظار حتى يقوم البائع بإصدار الإصلاح.
إذا كنت أحد شركاء Android، فسيكون الأمر أسهل بكثير على الفور. يتم إخطار شركاء Android بجميع مشكلات إطار عمل Android ومشكلات Linux kernel قبل 30 يومًا على الأقل من نشر النشرة. توفر Google تصحيحات لجميع المشكلات لمصنعي المعدات الأصلية لدمجها واختبارها، على الرغم من أن تصحيحات مكونات البائع تعتمد على البائع. على سبيل المثال، تم توفير التصحيحات الخاصة بمشكلات إطار عمل Android التي تم الكشف عنها في نشرة الأمان لشهر مايو 2019، لشركاء Android في وقت مبكر من 20 مارس 2019* على الأقل. هذا كثير من الوقت الاضافي.
*ملاحظة: يمكن لـ Google، وغالبًا ما تقوم بذلك، تحديث التصحيحات لأحدث نشرة أمنية حتى الإصدار العام. يمكن أن تحدث هذه التحديثات إذا تم العثور على ثغرات أمنية وأخطاء جديدة، وإذا قررت Google إزالة تصحيحات معينة من النشرة الشهرية بسبب كسر المكونات المهمة، إذا قامت Google بتحديث التصحيح لحل الخلل الذي أنشأه الإصدار السابق من التصحيح، وغيرها الأسباب.
لماذا أحتاج إلى الانتظار طويلاً حتى أتمكن من الحصول على التصحيح الأمني على هاتفي؟
في حين أنه من الصحيح أن شركاء Android (اقرأ: جميع الشركات المصنعة الأصلية الرئيسية) قد تلقوا تصحيحات الأمان قبل فترة طويلة من ظهورهم الإصدار، يدرك الكثيرون بشكل مؤلم أنهم ربما لن يتلقوا تحديثًا أمنيًا لعدة أشهر بعد صدوره يطلق. ويعود هذا عمومًا إلى أحد الأسباب الأربعة.
- قد تحتاج الشركات المصنعة للمعدات الأصلية إلى إجراء تغييرات فنية كبيرة من أجل استيعاب التصحيح الأمني، لأنه قد يتعارض مع التعليمات البرمجية الموجودة.
- البائع بطيء في توفير كود مصدر التحديث للمكونات مغلقة المصدر.
- قد تستغرق شهادة الناقل بعض الوقت.
- قد لا ترغب الشركات في إصدار تحديث أمني دون إصدار ميزة في نفس الوقت.
في حين أن كل هذه الأسباب وجيهة لعدم قيام الشركة بإصدار تصحيح أمني، إلا أن المستخدم النهائي لا يهتم دائمًا بأي من هذه الأسباب. من المسلم به أن المستخدم النهائي لا يهتم دائمًا بالتصحيحات الأمنية أيضًا، على الرغم من أنه ينبغي عليه ذلك. مبادرات مثل مشروع تريبل، تمديد لينكس LTS، و مشروع الخط الرئيسي تساعد في التخلص من الصعوبات التقنية لدمج تصحيحات الأمان هذه، ولكن لا يكفي جعل الشركات المصنعة للمعدات الأصلية تسعى باستمرار لإصدار التحديثات. باستخدام صورة Kernel العامة، أو GKI، سيكون لدى بائعي SoC ومصنعي المعدات الأصلية وقتًا أسهل في دمج تصحيحات kernel Linux الأولية، على الرغم من أننا من المحتمل ألا نرى الأجهزة الأولى المزودة بـ GKI حتى العام المقبل.
لكن المعلومة المثيرة للاهتمام التي لا يعرفها معظم الناس هي أن كبار مصنعي المعدات الأصلية يجب توفير "أربعة تحديثات أمنية على الأقل" خلال عام من إطلاق الجهاز، وسنتين من التحديثات بشكل عام. لم تؤكد Google هذه الشروط المحددة، لكن الشركة أكدت أنها "عملت على إنشاء تصحيح أمني في اتفاقيات OEM [الخاصة بها]". أما بالنسبة للأجهزة التي يوصى بها Android Enterprise (AER)، فيجب على الأجهزة الحصول على تحديثات الأمان خلال 90 يومًا من الإصدار لمدة 3 سنوات. مطلوب أجهزة AER القوية للحصول عليها 5 سنوات من التحديثات الأمنية. من المفترض أن تحصل أجهزة Android One على تحديثات الأمان كل شهر لمدة 3 سنوات.
ماذا يوجد في التصحيح الأمني؟
يعد التصحيح الأمني مجرد تحديث آخر، على الرغم من أنه بشكل عام أصغر كثيرًا مع التغييرات التي يتم إجراؤها على أطر العمل الفردية ووحدات النظام بدلاً من التحسينات أو التغييرات على مستوى النظام. كل شهر، توفر Google لمصنعي الأجهزة الأصلية ملفًا مضغوطًا يحتوي على تصحيحات لجميع إصدارات Android الرئيسية التي لا تزال مدعومة حاليًا، بالإضافة إلى مجموعة اختبارات الأمان. تساعد مجموعة الاختبار هذه مصنعي المعدات الأصلية على اكتشاف الثغرات في تصحيحات الأمان، لضمان عدم تفويت أي شيء وأنه تم دمج التصحيحات بشكل مناسب. مع مرور الشهر، قد تقوم Google بإجراء مراجعات طفيفة مثل تحديد تصحيح واحد محدد اختياري، وتحديدًا إذا كانت هناك مشاكل في تنفيذه.
ماذا عن ROM المخصصة؟
إذا لم يحصل هاتفك الذكي على العديد من التحديثات الأمنية، فهذا لا يعني بالضرورة أنه من الأفضل التبديل إلى ذاكرة ROM مخصصة. على الرغم من أنك ستحصل على تحديثات أمنية لم تكن لتحصل عليها بطريقة أخرى، إلا أن هذا نصف القصة فقط. يؤدي إلغاء قفل أداة تحميل التشغيل إلى جعلك عرضة للهجمات المادية على جهازك، حتى لو كان الأمان مشددًا على جانب البرنامج. هذا لا يعني أنه لا ينبغي عليك استخدام ذاكرة القراءة فقط (ROM) المخصصة، ولكن هناك مخاوف أخرى عندما يتعلق الأمر باستخدامها والتي لا تنطبق إذا ظل برنامج تحميل التشغيل الخاص بك مغلقًا. إذا كنت قلقًا أكثر بشأن الجانب البرمجي للأشياء، فلا يزال من الأفضل لك استخدام ذاكرة ROM مخصصة تحصل على تصحيحات أمان متكررة.
لكن تذكر أننا تحدثنا عن الفرق بين تصحيحات YYYY-MM-01 وYYYY-MM-05؟ يحتوي مستوى التصحيح -05 على تصحيحات Linux kernel بالإضافة إلى تصحيحات البائعين - وهي تصحيحات مطبقة على البرامج مغلقة المصدر. وهذا يعني أن مطوري ROM المخصصين يقعون تحت رحمة أي شركة تصنيع أصلية يقومون بتطويرها من أجلها، وما إذا كانت الشركة المصنعة الأصلية قد قامت بإصدار نقاط محدثة أم لا. يعد هذا أمرًا جيدًا بالنسبة للأجهزة التي لا تزال يتم تحديثها من قبل الشركة المصنعة، ولكن بالنسبة للأجهزة التي لم يتم تحديثها، لا يمكن تطبيق التصحيحات المطبقة إلا على إطار عمل Android و Linux kernel. لهذا السبب LineageOS واجهة الثقة يعرض مستويين من تصحيح الأمان - أحدهما النظام الأساسي، والآخر هو البائع. على الرغم من أن ROM المخصصة للأجهزة غير المدعومة لا يمكنها دمج جميع أحدث التصحيحات بشكل كامل، إلا أنها ستكون أكثر أمانًا من ROM الأقدم الذي عفا عليه الزمن.