So funktionieren monatliche Android-Sicherheitspatch-Updates

Google veröffentlicht seit August 2015 monatliche Sicherheitsbulletins. Diese Sicherheitsbulletins enthalten eine Liste offengelegter Sicherheitslücken, die behoben wurden und sich auf das Android-Framework, den Linux-Kernel und andere Closed-Source-Anbieterkomponenten auswirken. Jede Schwachstelle in den Bulletins wurde entweder von Google entdeckt oder dem Unternehmen offengelegt werden. Für jede aufgeführte Schwachstelle gibt es eine CVE-Nummer (Common Vulnerabilities and Exposures) und die dazugehörige Nummer Referenzen, die Art der Schwachstelle, eine Schweregradbewertung und die betroffene AOSP-Version (falls vorhanden). anwendbar). Aber trotz des scheinbar simplen Prozesses hinter der Funktionsweise von Android-Sicherheitspatches gibt es tatsächlich etwas kompliziertes Hin und Her hinter den Kulissen, das es Ihrem Telefon ermöglicht, monatlich oder (hoffentlich) nahezu monatlich zu empfangen Patches.

Was macht eigentlich einen Sicherheitspatch aus?

Sie haben vielleicht bemerkt, dass es tatsächlich jeden Monat solche gibt zwei Sicherheitspatch-Stufen. Das Format dieser Patches ist entweder JJJJ-MM-01 oder JJJJ-MM-05. Während YYYY und MM offensichtlich das Jahr bzw. den Monat darstellen, bedeuten „01“ und „05“ verwirrenderweise nicht wirklich den Tag des Monats, in dem diese Sicherheitspatch-Stufe veröffentlicht wurde. Stattdessen handelt es sich bei 01 und 05 tatsächlich um zwei verschiedene Sicherheitspatch-Level, die jeden Monat am selben Tag veröffentlicht werden – der Patch-Level mit 01 am Ende enthält jedoch Korrekturen für das Android-Framework nicht Hersteller-Patches oder Upstream-Linux-Kernel-Patches. Anbieter-Patches, wie wir oben definiert haben, beziehen sich auf Korrekturen für Closed-Source-Komponenten wie Treiber für WLAN und Bluetooth. Die durch -05 gekennzeichnete Sicherheitspatch-Stufe enthält diese Hersteller-Patches sowie Patches im Linux-Kernel. Werfen Sie einen Blick auf die folgende Tabelle, die zum Verständnis beitragen kann.

Natürlich entscheiden sich einige OEMs möglicherweise dafür, ihre eigenen Patches und Updates auch in Sicherheitsupdates umzuwandeln. Die meisten OEMs haben ihre eigene Sicht auf Android, daher macht es nur Sinn, dass Sie beispielsweise eine Sicherheitslücke auf einem Samsung-Telefon haben, die es auf einem Huawei nicht gibt. Viele dieser OEMs veröffentlichen auch ihre eigenen Sicherheitsbulletins.

• Google Pixel
• Huawei
• LG
• Motorola
• HMD Global
• Samsung

Die Zeitleiste eines Sicherheitspatches von Google auf Ihrem Telefon

Für Sicherheitspatches ist ein Zeitrahmen von ungefähr 30 Tagen vorgesehen, allerdings kann nicht jeder OEM die volle Länge dieses Zeitrahmens nutzen. Werfen wir einen Blick darauf Sicherheitspatch vom Mai 2019 Zum Beispiel können wir die gesamte Zeitleiste hinter der Erstellung dieses Patches aufschlüsseln. Unternehmen mögen Essentiell es schaffen, ihre Sicherheitsupdates herauszubringen am selben Tag wie das Google Pixel, wie machen sie das? Die kurze und einfache Antwort ist, dass sie ein sind Android-Partner. Das Sicherheitsbulletin vom Mai 2019 wurde am 6. Mai veröffentlicht, wobei sowohl das Google Pixels als auch das Essential Phone nahezu sofortige Updates erhalten.

Was es bedeutet, ein Android-Partner zu sein

Nicht jedes Unternehmen kann ein Android-Partner sein, obwohl es zugegebenermaßen im Grunde jeder große Android-OEM ist. Android-Partner sind Unternehmen, denen eine Lizenz zur Verwendung des Android-Brandings in Marketingmaterialien erteilt wird. Sie dürfen auch Google Mobile Services (GMS – bezieht sich auf so ziemlich alle Google-Dienste) bereitstellen, sofern sie die in den aufgeführten Anforderungen erfüllen Kompatibilitätsdefinitionsdokument (CDD) und bestehen Sie die Compatibility Test Suite (CTS), die Vendor Test Suite (VTS), die Google Test Suite (GTS) und einige andere Tests. Es gibt deutliche Unterschiede im Sicherheitspatch-Prozess für Unternehmen, die sind nicht ein Android-Partner.

• Android-Framework-Patches stehen ihnen zur Verfügung, nachdem sie ein bis zwei Tage vor der Veröffentlichung des Sicherheitsbulletins in AOSP integriert wurden.
• Upstream-Linux-Kernel-Patches können ausgewählt werden, sobald sie verfügbar sind.
• Fixes von SoC-Anbietern für Closed-Source-Komponenten sind abhängig von Vereinbarungen mit dem SoC-Anbieter verfügbar. Beachten Sie, dass der OEM das Problem selbst beheben kann, wenn der Anbieter dem OEM Zugriff auf den Quellcode der Closed-Source-Komponente(n) gewährt hat. Wenn der OEM keinen Zugriff auf den Quellcode hat, muss er warten, bis der Anbieter einen Fix herausgibt.

Wenn Sie ein Android-Partner sind, haben Sie es sofort viel einfacher. Android-Partner werden mindestens 30 Tage vor Veröffentlichung des Bulletins über alle Probleme mit dem Android-Framework und dem Linux-Kernel informiert. Google stellt OEMs Patches für alle Probleme zum Zusammenführen und Testen zur Verfügung, obwohl Patches für Anbieterkomponenten vom Anbieter abhängig sind. Patches für die Android-Framework-Probleme, die beispielsweise im Sicherheitsbulletin vom Mai 2019 offengelegt wurden, wurden Android-Partnern mindestens bereits am 20. März 2019* zur Verfügung gestellt. Das ist ein viel der Verlängerung.

*Hinweis: Google kann die Patches für das neueste Sicherheitsbulletin bis zur Veröffentlichung aktualisieren und tut dies häufig auch. Diese Aktualisierungen können erfolgen, wenn neue Schwachstellen und Fehler gefunden wurden oder Google beschließt, bestimmte Patches aus dem monatlichen Bulletin zu entfernen weil dadurch kritische Komponenten beschädigt werden, wenn Google einen Patch aktualisiert, um einen Fehler zu beheben, der durch die vorherige Version des Patches verursacht wurde, und anderes Gründe dafür.

Warum muss ich so lange warten, bis ich einen Sicherheitspatch auf meinem Telefon erhalte?

Es stimmt zwar, dass Android-Partner (sprich: alle großen OEMs) Sicherheitspatches lange vor ihrer Ankunft erhalten haben Vielen ist schmerzlich bewusst, dass sie nach der Veröffentlichung möglicherweise erst Monate später ein Sicherheitsupdate erhalten werden freigeben. Dies ist im Allgemeinen auf einen von vier Gründen zurückzuführen.

• OEMs müssen möglicherweise umfangreiche technische Änderungen vornehmen, um einen Sicherheitspatch zu integrieren, da dieser möglicherweise mit dem vorhandenen Code in Konflikt steht.
• Der Anbieter stellt Aktualisierungsquellcode für Closed-Source-Komponenten nur langsam bereit.
• Die Zertifizierung des Spediteurs kann einige Zeit dauern.
• Unternehmen sind möglicherweise nicht bereit, ein Sicherheitsupdate zu veröffentlichen, ohne gleichzeitig auch eine Funktion zu veröffentlichen.

Obwohl dies alles triftige Gründe für ein Unternehmen sind, keinen Sicherheitspatch zu veröffentlichen, ist der Endbenutzer nicht immer daran interessiert. Zugegebenermaßen kümmern sich auch Endbenutzer nicht immer um Sicherheitspatches, obwohl sie es tun sollten. Initiativen wie Project Treble, erweitertes Linux LTS, Und Projekt Mainline tragen dazu bei, die technischen Schwierigkeiten beim Zusammenführen dieser Sicherheitspatches zu beseitigen, aber das reicht nicht aus, um OEMs dazu zu bringen, sich konsequent um die Veröffentlichung von Updates zu bemühen. Mit einem Generic Kernel Image (GKI) wird es SoC-Anbietern und OEMs leichter fallen, Upstream-Linux-Kernel-Patches zusammenzuführen, obwohl wir die ersten Geräte mit GKI wahrscheinlich erst im nächsten Jahr sehen werden.

Aber eine interessante Information, die die meisten nicht kennen, ist, dass es sich um große OEMs handelt muss Stellen Sie „mindestens vier Sicherheitsupdates“ innerhalb eines Jahres nach der Markteinführung eines Geräts und insgesamt zwei Jahre lang Updates bereit. Google hat diese spezifischen Bedingungen nicht bestätigt, aber das Unternehmen hat bestätigt, dass sie „daran gearbeitet haben, Sicherheitspatches in [ihre] OEM-Vereinbarungen zu integrieren“. Was Geräte mit Android Enterprise-Empfehlung (AER) betrifft, so müssen diese drei Jahre lang innerhalb von 90 Tagen nach der Veröffentlichung Sicherheitsupdates erhalten. Dafür sind robuste AER-Geräte erforderlich 5 Jahre von Sicherheitsupdates. Android-One-Geräte sollen 3 Jahre lang jeden Monat Sicherheitsupdates erhalten.

Was ist in einem Sicherheitspatch enthalten?

Ein Sicherheitspatch ist nur ein weiteres Update, wenn auch im Allgemeinen viel kleiner und enthält Änderungen an einzelnen Frameworks und Systemmodulen statt systemweiter Verbesserungen oder Änderungen. Jeden Monat stellt Google Geräte-OEMs eine ZIP-Datei zur Verfügung, die Patches für alle derzeit noch unterstützten wichtigen Android-Versionen sowie eine Sicherheitstestsuite enthält. Diese Testsuite hilft OEMs, Lücken in Sicherheitspatches zu erkennen, um sicherzustellen, dass ihnen nichts entgeht und dass die Patches ordnungsgemäß zusammengeführt wurden. Im Laufe des Monats kann Google kleinere Änderungen vornehmen, z. B. die Entscheidung, dass ein bestimmter Patch optional ist, insbesondere wenn es Probleme bei der Implementierung gibt.

Was ist mit benutzerdefinierten ROMs?

Wenn Ihr Smartphone nicht viele Sicherheitsupdates erhält, bedeutet das nicht unbedingt, dass Sie besser auf ein benutzerdefiniertes ROM umsteigen sollten. Es stimmt zwar, dass Sie Sicherheitsupdates erhalten, die Sie sonst nicht erhalten hätten, aber das ist nur die halbe Wahrheit. Wenn Sie Ihren Bootloader entsperren, sind Sie anfällig für physische Angriffe auf Ihr Gerät, auch wenn die Sicherheit softwareseitig erhöht ist. Das heißt nicht, dass Sie keine benutzerdefinierten ROMs verwenden sollten. Es gibt lediglich andere Bedenken bei der Verwendung dieser ROMs, die nicht zutreffen, wenn Ihr Bootloader gesperrt bleibt. Wenn Sie sich mehr Sorgen um die Software machen, sind Sie mit einem benutzerdefinierten ROM, das regelmäßig Sicherheitspatches erhält, immer noch besser dran.

Aber erinnern Sie sich, dass wir über den Unterschied zwischen den Patches JJJJ-MM-01 und JJJJ-MM-05 gesprochen haben? Der Patch-Level -05 enthält Linux-Kernel-Patches sowie Hersteller-Patches – Patches, die auf Closed-Source-Software angewendet werden. Dies bedeutet, dass benutzerdefinierte ROM-Entwickler dem OEM ausgeliefert sind, für den sie entwickeln, und ob der OEM aktualisierte Blobs veröffentlicht oder nicht. Dies ist für Geräte, die noch vom Hersteller aktualisiert werden, in Ordnung, aber für Geräte, bei denen dies nicht der Fall ist, können die angewendeten Patches nur auf das Android-Framework und den Linux-Kernel angewendet werden. Aus diesem Grund ist LineageOS‘ Vertrauensschnittstelle zeigt zwei Sicherheitspatch-Stufen – eine für die Plattform und die andere für den Hersteller. Auch wenn benutzerdefinierte ROMs für nicht unterstützte Geräte nicht alle neuesten Patches vollständig integrieren können, sind sie sicherer als die älteren, veralteten ROMs.