Eksklusivt: Google planlægger at slække på sikkerhedsopdateringer til Android Enterprise Recommended

Android Enterprise Recommended-programmet kan se afslappede sikkerhedsopdateringskrav, ifølge et lækket dokument gennemgået af XDA.

Mens Android er det overordnede dominerende smartphone-operativsystem ifølge data fra IDC, Apples iOS er det foretrukne OS for de fleste virksomheder. Det er let at se hvorfor: Apple opdaterer sine iOS-enheder generelt langt længere og mere konsekvent end de fleste Android-enhedsproducenter opdatere deres smartphones, iPhones er nemme at konfigurere og administrere, og der er langt færre SKU'er at understøtte, hvis en virksomhed vælger Æble. Men der er også grunde for virksomheder til at vælge en Android-enhed, herunder reducerede omkostninger og mere fleksibilitet i hardware. For at gøre Android endnu mere tillokkende for arbejdspladsen lancerede Google "Android for Work" i begyndelsen af ​​2015 (senere omdøbt til "Android Enterprise" i slutningen af ​​2016). Så i begyndelsen af ​​2018 lancerede Google Android Enterprise Recommended (AER) program at certificere enheder til erhvervsbrug. Google kodificerede et sæt krav, som enheder skal opfylde for at være "Android Enterprise Recommended", inklusive minimumshardwarespecifikationer, support til masseimplementering, tilgængelighed af ulåste enheder, konsistens af app-adfærd, der kører i administrerede profiler og levering af Android-sikkerhedsopdateringer inden for 90 dage efter udgivelsen i mindst tre flere år.

Dokumenter afsløret af Android-udvikler @deletescape der blev gennemgået af XDA-udviklere afsløre, at Google planlægger at løsne kravene til sikkerhedsopdateringer for Android Enterprise-anbefalede enheder. I stedet presser Google på for, at leverandører skal være mere gennemsigtige om, hvordan de håndterer sikkerhedsopdateringer. Ifølge @deletescape blev disse dokumenter delt med leverandører inden for de sidste 15 dage. Selvom vi ikke kan garantere, at disse foreslåede ændringer til Android Enterprise Recommended vil gøre deres vej ind i den endelige liste over krav, kan vi i det mindste bekræfte, at Google for ganske nylig har overvejet disse ændringer.

Der er pt 170 forskellige Android-enheder der er Android Enterprise Anbefalet. HMD Global, Sony, Motorola, OPPO, og selvfølgelig, Google, tilbyder enheder, der er AER. Selv OnePlus overvejer at få sine enheder certificeret under programmet. Velkendte forbrugersmartphone-mærker er dog ikke de eneste virksomheder, der sælger Android Enterprise Recommended-enheder. Robuste smartphones fra virksomheder som Zebra, Honeywell, Sonim og andre er inkluderet i programmet, og nu selv transportører kan sælge AER-enheder direkte til virksomheder, forudsat at de hurtigt godkender sikkerhedsvedligeholdelsesudgivelser.

Enhedsforsyningsflowet i Android 10. Kilde: Jason Bayton

Det liste over krav nødvendig for at komme ind i AER er ikke så omfattende - mange flere Android-enheder kunne have været på listen i betragtning af de lave hardwarekrav. Selv AER's softwarekrav kræver ikke mange ændringer fra leverandører, som skitseret af flere interne Google-dokumenter. Et af dokumenterne skitserer, hvordan leverandører skal designe ikonbadges til apps i arbejdsprofilen, tilføje en dedikeret fane til arbejdsprofilapps i launcher, separate delemål for apps i den personlige profil og arbejdsprofilen, forudindlæse visse Google-applikationer og administrere data på tværs af profiler meddelelse. Et andet dokument skitserer UX-kravene for fanen arbejdsprofilstarter, hurtigindstilling for arbejdsprofil fliser, arbejdsprofildialoger, launcher-undervisningsmeddelelser, kontekstskift og andet systemdesign elementer. Disse krav har til formål at fremme en minimumsstandard for acceptabel hardware samt software UX-konsistens mellem Android Enterprise-anbefalede enheder.

Arbejdsprofil UX ændringer i Android 11. Venstre: Personlig fane og arbejdsfane i Indstillinger > App info. Til højre: Work app-ikoner nedtonet, når arbejdsprofilen er sat på pause. Kilde: Google.

Det ser dog ud til, at kravet om, at enheder hurtigt får sikkerhedsopdateringer efter hver måned Android Security Bulletin (ASB) har vist sig at være en for høj barriere for mange leverandører.

Google skubber til opdateringsgennemsigtighed til Android Enterprise anbefales

Android udvikler @deletescape, der for nylig delte et lækket udkast til Googles kompatibilitetsdefinitionsdokument til Android 11, har fået et lækket udkast til de nye Android Enterprise Recommended-krav til enheder, der kører Android 11. Under "Enhedssikkerhed", som vi har gengivet nedenfor, foreslår Google fjernelse af en række krav til AER-programmet. I henhold til disse nye foreslåede regler vil AER-enheder ikke længere være garanteret at modtage sikkerhedsopdateringer inden for 90 dage efter en ASB. Interessant nok antyder en af ​​rækkerne i diagrammet, at Google faktisk strammede dette krav fra 90 dage til 30 dage med skiftet til Android 10, men Google har stadig ikke opdateret offentlig liste over krav for at afspejle denne ændring. Ikke desto mindre, under de foreslåede ændringer, vil dette krav ikke længere gælde for Android Enterprise Recommended-enheder, der kører Android 11. Desuden vil leverandører heller ikke længere være forpligtet til at levere 3 års regelmæssige sikkerhedsopdateringer til AER-enheder. De vil dog stadig være forpligtet til at levere "Emergency Security Maintenance Release" (ESMR) opdateringer, hvilket formentlig betyder, at de kun skal udrulle opdateringer, der indeholder rettelser til kritisk sikkerhed sårbarheder.

Android 10 versus Android 11 - Enhedssikkerhedskrav til Android Enterprise anbefales

Kategori

Serienummer

SKAL / MAJ

Attribut og implementering

Kommentarer

Q (Android 10)

R (Android 11)

Enhedssikkerhed

1

KAN

Betjen et OEM Vulnerability Rewards Program (VRP)

Betjen et OEM Vulnerability Rewards Program (VRP)

2

KAN

StrongBox support

StrongBox support

3

KAN

Hardware-understøttet Keystore-understøttelse

Hardware-understøttet Keystore-understøttelse

4

KAN

Understøttelse af attestering af enheds-id

Understøttelse af attestering af enheds-id

5

KAN

Støtte til nøgleattestering

Støtte til nøgleattestering

6

30-dages sikkerhedsopdateringer

Kravet fjernet

Erstattet med krav om sikkerhedsgennemsigtighed

7

SKAL

3 års support til Emergency Security Maintenance Release (ESMR)

3 års support til Emergency Security Maintenance Release (ESMR)

Erstattet med krav om sikkerhedsgennemsigtighed

8

Filbaseret kryptering - slået til som standard. Bruger AOSP implementering.

Kravet fjernet

Dette er et GMS-krav, der håndhæves for alle enheder

9

90-dages sikkerhedsopdateringer

Kravet fjernet

Erstattet med krav om sikkerhedsgennemsigtighed

10

3 års sikkerhedsopdateringssupport (kan under 3. år ESMR)

Kravet fjernet

Erstattet med krav om sikkerhedsgennemsigtighed

11

Udgiv seneste sikkerhedspatch-niveau

Kravet fjernet

Erstattet med krav om sikkerhedsgennemsigtighed

Læs mere

Som nævnt i skemaet foreslår Google at erstatte mange af disse krav med nye krav til "gennemsigtighed". Faktisk foreslår Google tilføjelse af et nyt afsnit med titlen "Sikkerhed/OS-opdateringer gennemsigtighed." De nye krav beskriver, hvordan leverandører bliver forpligtet til at offentliggøre oplysninger, såsom slutdatoen for sikkerhedsvedligeholdelsesudgivelser, den seneste sikkerhedsrettelse det er tilgængeligt, hvor ofte enheden modtager opdateringer, hvilke rettelser der er indeholdt i hver opdatering, forsendelsen og planlagte softwareopdateringer af enheden og mere. Interessant nok kræver Google også, at Android 11-enheder gennemgår certificeringstest af ioXt Alliance før de kan blive Android Enterprise Recommended. ioXt Alliance er en alliance af virksomheder, hvis mål er at forbedre sikkerheden for IoT-produkter. Dets medlemmer inkluderer Amazon, Facebook, Google, NXP og mere. Google siger, at at have denne certificering vil øge gennemsigtigheden, formentlig da det vil give virksomheder en uafhængig målestok for, hvor sikker en bestemt enhed er i stedet for blot Googles forsikring.

Sikkerheds-/OS-opdateringer Krav til gennemsigtighed (nye) for Android Enterprise anbefales

Kategori

Serienummer

SKAL / MAJ

Attribut og implementering

Kommentarer

Q (Android 10)

R (Android 11)

Sikkerhed/OS-opdateringer gennemsigtighed

1

SKAL

SKAL offentliggøre følgende opdateringsoplysninger på OEM-webstedet- Slutdato for SMR-support (sidste dato, når enheden vil modtage SMR)- Seneste sikkerhedsrettelse tilgængelig- Hyppighed af opdateringer, enheden vil modtage- Rettelser indeholdt i sikkerhedsrettelse, inklusive enhver OEM-specifik rettelser

Ændring af kravet fra SMR-understøttelse til SMR/patches/opdateringsgennemsigtighed

2

SKAL

SKAL offentliggøre følgende OS-oplysninger på OEM-webstedet- OS, som enheden er leveret med- Aktuelle større OS-ver- Alle større OS-versionsopdateringer, som enheden vil modtage

Ændring af kravet fra support til gennemsigtighed, f.eks.: Pixel 3 - Sendt version - Android 9 - Nuværende version - Android 10 - Forventet større version - Android 11

3

SKAL

Indsend enheden til IoXT-certificering

IoXT-scoring øger gennemsigtigheden

Læs mere

Det er ingen hemmelighed, at leverandører har problemer med at holde trit med at udrulle månedlige sikkerhedsopdateringer. Der er mange, mange grunde til, at det er tilfældet: forsinkelser i operatørcertificering, venter på patches fra chipset og andet leverandører, vanskeligheden ved at anvende patches til stærkt modificerede Android-rammekonstruktioner og Linux-kerner uden for træet, og mere. Nogle Android-brugere har endda lagt mærke til, hvordan nogle leverandører ikke opfylder AER-kravene. Mens Googles udviklingsindsats og licensaftaler har hjalp med at forbedre hvor hurtigt sikkerhedsopdateringer ruller ud for mange enheder, har de tydeligvis ikke været i stand til at opretholde de nuværende sikkerhedsopdateringskrav til Android Enterprise Recommended-programmet. At løsne disse krav til fordel for mere gennemsigtighed vil både bidrage til at gøre programmet mere tilgængeligt til leverandører og giver også virksomheder mere tillid til den særlige enhed, de vælger til deres arbejdere.

Den foreslåede lempelse af opdateringer af sikkerhedsopdateringer er selvfølgelig ikke den eneste ændring, der kan komme til Android Enterprise Recommended-programmet til Android 11. Google planlægger også at øge minimumshardwarekravene fra 2 GB RAM til 3 GB RAM, skærpe træningskravene og implementere et nyt sæt krav til arbejdsprofilens UX. De fleste af disse ændringer vil dog ikke påvirke videnarbejdere. Android i virksomheden er vokset meget siden dens tidlige dage. Hvis du er interesseret i at lære mere om dens historie, anbefaler jeg at læse denne fremragende artikel fra Jason Bayton.