Η Google πιθανώς διαχωρίζει τα επίπεδα ενημερωμένης έκδοσης κώδικα ασφαλείας Android για ταχύτερες ενημερώσεις ασφαλείας

Για μεγάλο χρονικό διάστημα στην πρώιμη ιστορία του, το Android είχε τη φήμη ότι ήταν λιγότερο ασφαλές από το iOS, λόγω της προσέγγισης της Apple ως «περιτοιχισμένου κήπου» στις εφαρμογές. Το αν αξίζει ή όχι αυτή η φήμη του παρελθόντος δεν είναι κάτι στο οποίο πρόκειται να βουτήξουμε, αλλά είναι σαφές ότι η Google έχει κάνει μεγάλα βήματα για την προστασία του Android από τρωτά σημεία. Όχι μόνο η εταιρεία παρέχει νέες δυνατότητες ασφαλείας στην πιο πρόσφατη έκδοση του Android, Android P, αλλά παρέχουν επίσης "ασφάλεια εταιρικού επιπέδου" στις πιο πρόσφατες συσκευές τους χάρη σε μια μονάδα ασφαλείας υλικού στο Google Pixel 2/2 XL. Η διατήρηση της ασφάλειας μιας συσκευής απαιτεί επίσης συνεχείς ενημερώσεις για την επιδιόρθωση όλων των πιο πρόσφατων απειλών, γι' αυτό και η Google έχει 

μηνιαία δελτία ασφαλείας για όλους τους κατασκευαστές συσκευών και τους προμηθευτές να ενσωματώνουν ενημερώσεις κώδικα για όλες τις γνωστές ενεργές και πιθανές ευπάθειες. Τώρα, φαίνεται ότι η εταιρεία μπορεί να κάνει αλλαγές στο σύστημα ενημέρωσης κώδικα ασφαλείας Android παρέχοντας έναν τρόπο διάκριση μεταξύ του επιπέδου ενημέρωσης κώδικα πλαισίου Android και του επιπέδου ενημέρωσης κώδικα προμηθευτή μαζί με το bootloader, τον πυρήνα κ.λπ. είτε να χωρίσουν τα επίπεδα ενημερωμένης έκδοσης κώδικα ασφαλείας, ώστε οι OEM να μπορούν να παρέχουν καθαρές ενημερώσεις πλαισίου ή να προσδιορίζουν καλύτερα στον χρήστη ποιο επίπεδο ενημέρωσης κώδικα εκτελούν.

---

Μηνιαίες ενημερώσεις κώδικα ασφαλείας Android - A Primer

Όλοι γνωρίζουμε ότι οι ενημερώσεις κώδικα ασφαλείας είναι σημαντικές, ειδικά μετά τη δημοσιοποίηση μιας σειράς ευπαθειών υψηλού προφίλ το δεύτερο εξάμηνο του περασμένου έτους. ο Ευπάθεια BlueBorne επιτέθηκε στο πρωτόκολλο Bluetooth και διορθώθηκε στο Μηνιαίες ενημερώσεις κώδικα Σεπτεμβρίου 2017, ΚΡΑΚ στοχεύει μια αδυναμία στο Wi-Fi WPA2 και διορθώθηκε Δεκέμβριος 2017, και τα τρωτά σημεία Spectre/Meltdown επιδιορθώθηκαν κυρίως με το Ενημερωμένες εκδόσεις κώδικα Ιανουαρίου 2018. Η επιδιόρθωση ευπαθειών όπως αυτές απαιτούν συνήθως συνεργασία με έναν προμηθευτή υλικού (όπως η Broadcom και Qualcomm) επειδή η ευπάθεια αφορά ένα στοιχείο υλικού όπως το τσιπ Wi-Fi ή Bluetooth ή το ΕΠΕΞΕΡΓΑΣΤΗΣ. Από την άλλη πλευρά, υπάρχουν προβλήματα στο λειτουργικό σύστημα Android όπως αυτό επίθεση επικάλυψης μηνύματος τοστ που απαιτούν μόνο ενημέρωση του Android Framework για να διορθωθούν.

Κάθε φορά που η Google κυκλοφορεί μια μηνιαία ενημέρωση κώδικα ασφαλείας, οι κατασκευαστές συσκευών πρέπει να διορθώνουν ΟΛΕΣ τις ευπάθειες περιγράφεται στο ενημερωτικό δελτίο ασφαλείας αυτού του μήνα, εάν θέλουν να πουν ότι η συσκευή τους είναι ασφαλής μέχρι τη συγκεκριμένη μηνιαία ενημέρωση κώδικα επίπεδο. Κάθε μήνα, υπάρχουν δύο επίπεδα ενημέρωσης κώδικα ασφαλείας που μπορεί να ικανοποιήσει μια συσκευή: το επίπεδο ενημέρωσης κώδικα την 1η του μήνα ή την 5η του μήνα. Εάν μια συσκευή λέει ότι εκτελεί ένα επίπεδο ενημέρωσης κώδικα από την 1η του μήνα (π.χ. 1 Απριλίου αντί για 5 Απριλίου) τότε αυτό σημαίνει ότι η έκδοση περιέχει όλες τις ενημερώσεις κώδικα πλαισίου ΚΑΙ προμηθευτή από την κυκλοφορία του τελευταίου μήνα συν όλες τις ενημερώσεις κώδικα πλαισίου από το πιο πρόσφατο ενημερωτικό δελτίο ασφαλείας. Από την άλλη πλευρά, εάν μια συσκευή λέει ότι εκτελεί ένα επίπεδο ενημέρωσης κώδικα από τις 5 του μήνα (5 Απριλίου, για για παράδειγμα), τότε αυτό σημαίνει ότι περιέχει όλες τις ενημερώσεις κώδικα πλαισίου και προμηθευτή από τον προηγούμενο και αυτόν τον μήνα δελτίο. Ακολουθεί ένας πίνακας που δείχνει τη βασική διαφορά μεταξύ των μηνιαίων επιπέδων ενημέρωσης κώδικα:

Πιθανότατα γνωρίζετε πόσο άσχημη είναι η κατάσταση της ενημέρωσης κώδικα ασφαλείας στο οικοσύστημα Android. Το παρακάτω γράφημα δείχνει ότι η Google και η Essential παρέχουν τις ταχύτερες μηνιαίες ενημερώσεις κώδικα ασφαλείας, ενώ άλλες εταιρείες υστερούν. Μπορεί να χρειαστούν μήνες για έναν OEM να φέρει τις πιο πρόσφατες ενημερώσεις κώδικα σε μια συσκευή, όπως π.χ OnePlus 5 και OnePlus 5T έλαβε πρόσφατα το Ενημερωμένη έκδοση κώδικα ασφαλείας Απριλίου όταν ήταν προηγουμένως στο patch του Δεκεμβρίου.

Κατάσταση ενημερωμένης έκδοσης κώδικα ασφαλείας Android από τον Φεβρουάριο του 2018. Πηγή: @SecX13

Το πρόβλημα με την παροχή ενημερώσεων ενημέρωσης κώδικα ασφαλείας Android δεν είναι απαραίτητα ότι οι OEM είναι τεμπέληδες, καθώς μερικές φορές μπορεί να είναι εκτός ελέγχου. Όπως αναφέραμε προηγουμένως, οι μηνιαίες ενημερώσεις κώδικα ασφαλείας συχνά απαιτούν τη συνεργασία ενός υλικού πωλητή, η οποία μπορεί να προκαλέσει καθυστερήσεις εάν ο προμηθευτής δεν είναι σε θέση να συμβαδίσει με τη μηνιαία ενημέρωση κώδικα ασφαλείας δελτία. Για να το καταπολεμήσει αυτό, φαίνεται ότι η Google μπορεί να αρχίσει να διαχωρίζει το επίπεδο ενημέρωσης κώδικα ασφαλείας Android Framework από το επίπεδο ενημέρωσης κώδικα προμηθευτή (και πιθανώς στο επίπεδο του bootloader και του πυρήνα), έτσι ώστε στο μέλλον, οι OEM να μπορούν να παρέχουν καθαρά ασφάλεια πλαισίου Android ενημερώσεις.

---

Πιο γρήγορες ενημερώσεις ενημερωμένης έκδοσης κώδικα ασφαλείας Android για ευπάθειες πλαισίου;

Ενα νέο διαπράττω έχει εμφανιστεί στο gerrit Android Open Source Project (AOSP) που υποδηλώνει μια "ενημερωμένη έκδοση κώδικα ασφαλείας προμηθευτή prop" που θα καθορίζεται στα αρχεία Android.mk κάθε φορά που εκτελείται μια νέα έκδοση για μια συσκευή δημιουργήθηκε. Αυτή η ιδιοκτησία θα ονομάζεται "ro.vendor.build.security_patch"και θα είναι ανάλογο με"ro.build.version.security_patch" που υπάρχει αυτήν τη στιγμή σε όλες τις συσκευές Android για να καθορίσετε το μηνιαίο επίπεδο Ενημερωμένης έκδοσης κώδικα ασφαλείας Android.

Αυτή η νέα ιδιοκτησία θα μας πει αντίθετα το "VENDOR_SECURITY_PATCH" επίπεδο της συσκευής, το οποίο μπορεί να ταιριάζει ή να μην ταιριάζει με το επίπεδο ενημέρωσης κώδικα ασφαλείας του Android Framework. Για παράδειγμα, μια συσκευή μπορεί να εκτελείται στις πιο πρόσφατες ενημερώσεις κώδικα πλαισίου του Απριλίου 2018 μαζί με ενημερώσεις κώδικα προμηθευτών Φεβρουαρίου 2018. Κάνοντας διάκριση μεταξύ των δύο επιπέδων ενημέρωσης κώδικα ασφαλείας, είναι πιθανό η Google να σκοπεύει να επιτρέψει στους OEM να αποστέλλουν το πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας του Android OS, παρόλο που οι προμηθευτές δεν έχουν παράσχει ενημερωμένες ενημερώσεις κώδικα για αυτήν τη μηνιαία ενημέρωση κώδικα επίπεδο.

Εναλλακτικά, Google μπορεί απλώς να εμφανίζει το ελάχιστο από τα δύο επίπεδα ενημέρωσης κώδικα (μαζί πιθανώς με τα επίπεδα ενημερωμένης έκδοσης κώδικα εκκίνησης και πυρήνα) προκειμένου να δείξουν στον χρήστη με μεγαλύτερη ακρίβεια σε ποια ενημερωμένη έκδοση κώδικα ασφαλείας βρίσκεται η συσκευή του. Δεν έχουμε ακόμη επιβεβαίωση για την πρόθεση πίσω από αυτό το patch, αλλά ελπίζουμε να μάθουμε περισσότερα σύντομα.

Τουλάχιστον, αυτό θα είναι χρήσιμο για όσους από εμάς Project TrebleΓενικές εικόνες συστήματος (GSI) και άλλες προσαρμοσμένες ROM που βασίζονται σε AOSP, όπως συχνά οι προσαρμοσμένες ROM παρέχουν μόνο ενημερώσεις πλαισίου χωρίς επιδιόρθωση όλου του προμηθευτή, bootloader και ενημερώσεις κώδικα πυρήνα που καθορίζονται σε ένα μηνιαίο ενημερωτικό δελτίο ασφαλείας, επομένως η αναντιστοιχία προκαλεί σύγχυση στους χρήστες καθώς πιστέψτε ότι εκτελούν τις πιο πρόσφατες ενημερώσεις κώδικα, ενώ στην πραγματικότητα η συσκευή τους έχει επιδιορθωθεί μόνο μερικώς έναντι της πιο πρόσφατης μηνιαίας ασφάλειας δελτίο.