Exkluzivně: Google plánuje uvolnit aktualizace zabezpečení pro Android Enterprise Doporučeno

Zatímco Android je celkově dominantním operačním systémem smartphonů podle údajů z IDC, iOS od společnosti Apple je operační systém, který si většina podniků vybere. Je snadné pochopit proč: Apple aktualizuje svá zařízení iOS obecně mnohem déle a důsledněji než většina výrobců zařízení Android aktualizují své chytré telefony, iPhony se snadno konfigurují a spravují a existuje mnohem méně SKU k podpoře, pokud si společnost vybere Jablko. Existují však také důvody, proč si podniky vybrat zařízení Android, včetně nižších nákladů a větší flexibility hardwaru. Aby byl Android pro pracoviště ještě lákavější, spustil Google na začátku roku 2015 „Android for Work“ (později přejmenován na „Android Enterprise“ koncem roku 2016). Na začátku roku 2018 pak Google spustil Program Android Enterprise Recommended (AER). k certifikaci zařízení pro firemní použití. Google kodifikoval sadu požadavků, které musí zařízení splňovat, aby byla „doporučeno pro Android Enterprise“, včetně minimálních hardwarových specifikací, podpory hromadného nasazení, dostupnost odemčených zařízení, konzistentnost chování aplikací spuštěných ve spravovaných profilech a dodání bezpečnostních aktualizací Androidu do 90 dnů od vydání po dobu minimálně tří let.

Dokumenty odkryté vývojářem Android @deletescape které byly zkontrolovány XDA-Developers odhalují, že Google plánuje uvolnit požadavky na aktualizace zabezpečení pro zařízení doporučená Android Enterprise. Místo toho Google tlačí na to, aby dodavatelé byli transparentnější v tom, jak zacházejí s bezpečnostními aktualizacemi. Podle @deletescape byly tyto dokumenty sdíleny s dodavateli během posledních 15 dnů. I když tedy nemůžeme zaručit, že se tyto navrhované změny aplikace Android Enterprise Recommended prosadí do konečného seznamu požadavků, můžeme alespoň potvrdit, že Google je zvažoval velmi nedávno Změny.

V současné době existuje 170 různých zařízení Android které jsou doporučeny pro Android Enterprise. HMD Global, Sony, Motorola, OPPO, a samozřejmě, Google, nabízejí zařízení, která jsou AER. Dokonce i OnePlus zvažuje certifikaci svých zařízení v rámci programu. Známé spotřebitelské značky smartphonů však nejsou jedinými společnostmi, které prodávají zařízení Android Enterprise Recommended. Odolné smartphony od společností jako Zebra, Honeywell, Sonim a další jsou zahrnuty do programu a nyní dokonce i dopravci může prodávat zařízení AER přímo podnikům za předpokladu, že rychle schválí vydání bezpečnostní údržby.

Postup poskytování zařízení v systému Android 10. Zdroj: Jason Bayton

The seznam požadavků potřebný pro vstup do AER není tak rozsáhlý – vzhledem k nízkým základním hardwarovým požadavkům by se na seznam mohlo dostat mnohem více zařízení Android. Ani softwarové požadavky AER nevyžadují od dodavatelů mnoho změn, jak je uvedeno v několika interních dokumentech Google. Jeden z dokumentů popisuje, jak musí dodavatelé navrhovat odznaky ikon pro aplikace v pracovním profilu, přidat vyhrazenou kartu pro aplikace pracovního profilu do spouštěč, samostatné cíle sdílení pro aplikace v osobním a pracovním profilu, předběžné načítání určitých aplikací Google a správa dat napříč profily sdělení. Další dokument popisuje požadavky na uživatelské prostředí pro kartu spouštěče pracovního profilu, rychlé nastavení pracovního profilu dlaždice, dialogová okna pracovního profilu, vzdělávací zprávy spouštěče, přepínání kontextu a další návrh systému Prvky. Tyto požadavky jsou zaměřeny na podporu minimálního standardu přijatelného hardwaru a také konzistence uživatelského rozhraní softwaru mezi zařízeními doporučenými pro Android Enterprise.

Zdá se však, že požadavek, aby zařízení rychle dostávala aktualizace bezpečnostních záplat po každém měsíci Android Security Bulletin (ASB) se ukázalo být pro mnoho prodejců příliš vysokou překážkou.

Doporučeno Google Pushes for Update Transparency for Android Enterprise

Android vývojář @deletescape, který nedávno sdílel uniklý koncept Dokument definice kompatibility společnosti Google pro Android 11, získala uniklý návrh nových doporučených požadavků Android Enterprise pro zařízení se systémem Android 11. Pod "Zabezpečení zařízení“, kterou jsme reprodukovali níže, Google navrhuje odstranění řady požadavků na program AER. Podle těchto nových navrhovaných pravidel již nebude zaručeno, že zařízení AER obdrží aktualizace bezpečnostních oprav do 90 dnů od ASB. Je zajímavé, že jeden z řádků v grafu naznačuje, že Google skutečně zpřísnil tento požadavek z 90 dnů na 30 dnů s přechodem na Android 10, ale Google stále neaktualizoval veřejný seznam požadavků odrážet tuto změnu. Podle navrhovaných změn se však tento požadavek již nebude vztahovat na zařízení doporučená pro Android Enterprise se systémem Android 11. Kromě toho již prodejci nebudou muset poskytovat 3 roky pravidelných bezpečnostních aktualizací pro zařízení AER. Stále však budou muset poskytovat aktualizace „Emergency Security Maintenance Release“ (ESMR), což pravděpodobně znamená, že musí vydávat pouze aktualizace obsahující opravy pro kritické zabezpečení zranitelnosti.

Android 10 versus Android 11 – Doporučené požadavky na zabezpečení zařízení pro Android Enterprise

Kategorie	Sériové číslo	MUSÍ / MŮŽE	Atribut a implementace	Komentáře
Q (Android 10)	R (Android 11)
Zabezpečení zařízení	1	SMĚT	Provozujte program odměn za zranitelnost OEM (VRP)	Provozujte program odměn za zranitelnost OEM (VRP)
2	SMĚT	Podpora StrongBox	Podpora StrongBox
3	SMĚT	Hardwarová podpora úložiště klíčů	Hardwarová podpora úložiště klíčů
4	SMĚT	Podpora atestace ID zařízení	Podpora atestace ID zařízení
5	SMĚT	Podpora klíčových atestací	Podpora klíčových atestací
6	30denní bezpečnostní aktualizace	Požadavek odstraněn	Nahrazeno požadavkem na transparentnost zabezpečení
7	MUSÍ	3letá podpora pro Emergency Security Maintenance Release (ESMR)	3letá podpora pro Emergency Security Maintenance Release (ESMR)	Nahrazeno požadavkem na transparentnost zabezpečení
8	Šifrování založené na souborech – ve výchozím nastavení zapnuto. Používá implementaci AOSP.	Požadavek odstraněn	Toto je požadavek GMS vynucený pro všechna zařízení
9	90denní bezpečnostní aktualizace	Požadavek odstraněn	Nahrazeno požadavkem na transparentnost zabezpečení
10	3letá podpora aktualizací zabezpečení (ESMR do 3. roku)	Požadavek odstraněn	Nahrazeno požadavkem na transparentnost zabezpečení
11	Publikujte nejnovější úroveň opravy zabezpečení	Požadavek odstraněn	Nahrazeno požadavkem na transparentnost zabezpečení

Přečtěte si více

Jak je uvedeno v grafu, Google navrhuje nahradit mnoho těchto požadavků novými požadavky na „transparentnost“. Google skutečně navrhuje přidání nové sekce s názvem „Průhlednost aktualizací zabezpečení/OS." Nové požadavky podrobně popisují, jak budou prodejci povinni zveřejňovat informace, jako je datum konce životnosti vydání údržby zabezpečení, nejnovější oprava zabezpečení k dispozici, jak často bude zařízení dostávat aktualizace, jaké opravy jsou obsaženy v jednotlivých aktualizacích, dodávané a plánované aktualizace softwaru zařízení a další. Je zajímavé, že Google také vyžaduje, aby zařízení se systémem Android 11 prošla certifikačním testováním Aliance ioXt než se stanou doporučenými pro Android Enterprise. ioXt Alliance je aliance společností, jejichž cílem je zlepšit bezpečnost produktů IoT. Mezi její členy patří Amazon, Facebook, Google, NXP a další. Google říká, že tato certifikace přispěje k transparentnosti, pravděpodobně proto, že dá podniky nezávislou metriku toho, jak bezpečné je konkrétní zařízení, spíše než jen zařízení Google ujištění.

Zabezpečení/aktualizace OS Požadavky na transparentnost (nové) pro Android Enterprise Doporučeno

Kategorie	Sériové číslo	MUSÍ / MŮŽE	Atribut a implementace	Komentáře
Q (Android 10)	R (Android 11)
Průhlednost aktualizací zabezpečení/OS	1	MUSÍ	MUSÍ publikovat následující informace o aktualizacích na webových stránkách OEM - Konečné datum podpory SMR (poslední datum, kdy zařízení obdrží SMR) - Nejnovější K dispozici je bezpečnostní oprava – Frekvence aktualizací, které zařízení obdrží – Opravy obsažené v opravách zabezpečení, včetně jakýchkoli specifických OEM opravuje	Změna požadavku z podpory SMR na transparentnost SMR/záplaty/aktualizace
2	MUSÍ	MUSÍ publikovat následující informace o operačním systému na webových stránkách OEM- OS, se kterým je zařízení dodáváno- Aktuální hlavní OS ver- Všechny hlavní verze OS, které zařízení obdrží	Změna požadavku z podpory na transparentnost např.: Pixel 3 – Dodávaná verze – Android 9 – Aktuální verze – Android 10 – Očekávaná hlavní verze – Android 11
3	MUSÍ	Odešlete zařízení k certifikaci IoXT	Skóre IoXT přispívá k transparentnosti

Přečtěte si více

Není žádným tajemstvím, že dodavatelé mají problém udržet krok se zaváděním měsíčních aktualizací bezpečnostních záplat. Existuje mnoho a mnoho důvodů, proč tomu tak je: zpoždění certifikace operátora, čekání na opravy z čipové sady a další dodavatelů, potíže s aplikací záplat na silně upravené sestavení rámce Android a linuxová jádra mimo strom a více. Někteří uživatelé Androidu si dokonce všimli, jak někteří prodejci nesplňují požadavky AER. Zatímco vývojové úsilí Google a licenční smlouvy ano pomohl zlepšit Jak rychle se aktualizace zabezpečení zavádějí pro mnoho zařízení, zjevně nebyly schopny udržet aktuální požadavky na bezpečnostní opravy programu Android Enterprise Recommended. Uvolnění těchto požadavků ve prospěch větší transparentnosti přispěje ke zpřístupnění programu dodavatelům a také poskytují podnikům větší důvěru v konkrétní zařízení, které si pro sebe vyberou pracovníků.

Navrhované uvolnění aktualizací bezpečnostních záplat není samozřejmě jedinou změnou, která by mohla přijít v programu Android Enterprise Recommended pro Android 11. Google také plánuje zvýšit minimální hardwarové požadavky z 2 GB RAM na 3 GB RAM, zpřísnit požadavky na školení a implementovat novou sadu požadavků na pracovní profil UX. Většina z těchto změn však nebude mít dopad na znalostní pracovníky. Android v podniku se od svých počátků hodně rozrostl. Pokud máte zájem dozvědět se více o jeho historii, doporučuji přečíst tento skvělý článek od Jasona Baytona.