Según un compromiso reciente que descubrimos en el Proyecto de código abierto de Android, Google está preparando para distinguir entre el nivel de parche de seguridad del proveedor y el parche de seguridad de Android Framework nivel. Esto permite a los OEM mantener Android actualizado mientras esperan que los proveedores de hardware proporcionen correcciones.
Durante mucho tiempo en sus inicios, Android tuvo la reputación de ser menos seguro que iOS debido al enfoque de "jardín amurallado" de Apple hacia las aplicaciones. No vamos a profundizar en si esa reputación pasada es merecida o no, pero está claro que Google ha hecho grandes avances para proteger Android contra vulnerabilidades. La empresa no solo ofrece nuevas funciones de seguridad en la última versión de Android, AndroidP, pero también están proporcionando "seguridad de nivel empresarial" en sus últimos dispositivos gracias a un módulo de seguridad de hardware en Google Pixel 2/2 XL. Mantener un dispositivo seguro también requiere actualizaciones continuas para corregir todas las amenazas más recientes, razón por la cual Google ha
boletines de seguridad mensuales para que todos los fabricantes y proveedores de dispositivos incorporen parches contra todas las vulnerabilidades activas y potenciales conocidas. Ahora, parece que la compañía puede estar realizando cambios en el sistema de parches de seguridad de Android al proporcionar una forma de distinguir entre el nivel de parche del marco de Android y el nivel de parche del proveedor junto con el gestor de arranque, kernel, etc. dividir los niveles de parches de seguridad para que los OEM puedan proporcionar actualizaciones puras del marco o identificar mejor al usuario qué nivel de parche están ejecutando.Parches de seguridad mensuales de Android: introducción
Todos sabemos que los parches de seguridad son importantes, especialmente después de que se hicieran públicas una serie de vulnerabilidades de alto perfil en la segunda mitad del año pasado. El Vulnerabilidad de Blueborne atacó el protocolo Bluetooth y fue parcheado en el Parches mensuales de septiembre de 2017, CRACK apunta a una debilidad en Wi-Fi WPA2 y fue parcheado en diciembre 2017, y las vulnerabilidades de Spectre/Meltdown se solucionaron en su mayoría con el Parches de enero de 2018. Parchar vulnerabilidades como éstas normalmente requiere la cooperación con un proveedor de hardware (como Broadcom y Qualcomm) porque la vulnerabilidad afecta a un componente de hardware como el chip Wi-Fi o Bluetooth o el UPC. Por otro lado, existen problemas en el sistema operativo Android como este ataque de superposición de mensaje tostado que solo requieren una actualización del Framework de Android para poder solucionarlo.
Cada vez que Google lanza un parche de seguridad mensual, los fabricantes de dispositivos deben corregir TODAS las vulnerabilidades. descrito en el boletín de seguridad de ese mes si quieren decir que su dispositivo es seguro hasta ese parche mensual nivel. Cada mes, hay dos niveles de parche de seguridad que un dispositivo puede cumplir: el nivel de parche del día 1 del mes o del día 5 del mes. Si un dispositivo dice que está ejecutando un nivel de parche a partir del día 1 del mes (p. ej. 1 de abril en lugar del 5 de abril), eso significa que la compilación contiene todos los parches del marco Y de los proveedores del lanzamiento del último mes, además de todos los parches del marco del boletín de seguridad más reciente. Por otro lado, si un dispositivo dice que está ejecutando un nivel de parche a partir del día 5 del mes (5 de abril, para ejemplo), entonces eso significa que contiene todos los parches de framework y proveedores del mes pasado y de este mes. boletín. Aquí hay una tabla que ejemplifica la diferencia básica entre los niveles de parches mensuales:
Nivel de parche de seguridad mensual |
1 ° de abril |
5 de abril |
|---|---|---|
Contiene parches de marco de abril |
Sí |
Sí |
Contiene parches de proveedores de abril |
No |
Sí |
Contiene parches de marco de marzo |
Sí |
Sí |
Contiene parches de proveedores de marzo |
Sí |
Sí |
Probablemente esté familiarizado con lo deprimente que es la situación de los parches de seguridad en el ecosistema de Android. El siguiente cuadro muestra que Google y Essential brindan las actualizaciones mensuales de parches de seguridad más rápidas, mientras que otras empresas se quedan atrás. Un OEM puede tardar meses en incorporar los últimos parches a un dispositivo, por ejemplo, cómo OnePlus 5 y OnePlus 5T recibió recientemente el Parche de seguridad de abril cuando anteriormente estaban en el parche de diciembre.
Estado del parche de seguridad de Android a febrero de 2018. Fuente: @SegX13
El problema de proporcionar actualizaciones del parche de seguridad de Android no es necesariamente que los OEM sean vagos, ya que a veces puede estar fuera de su control. Como mencionamos anteriormente, las actualizaciones mensuales de parches de seguridad a menudo requieren la cooperación de un proveedor de hardware. proveedor, lo que puede causar retrasos si el proveedor no puede mantenerse al día con el parche de seguridad mensual boletines. Para combatir esto, parece que Google puede comenzar a separar el nivel de parche de seguridad de Android Framework del nivel de parche de proveedor. (y posiblemente el gestor de arranque y el nivel del kernel) para que en el futuro los OEM puedan proporcionar seguridad de marco puramente de Android. actualizaciones.
¿Actualizaciones más rápidas del parche de seguridad de Android para vulnerabilidades del marco?
un nuevo comprometerse ha aparecido en el informe del Proyecto de código abierto de Android (AOSP) que insinúa un "parche de seguridad del proveedor prop" que se definiría en los archivos Android.mk cada vez que se esté creando una nueva compilación para un dispositivo. creado. Esta propiedad se llamará "ro.vendor.build.security_patch" y será análogo a "ro.build.version.security_patch" que existe actualmente en todos los dispositivos Android para especificar el nivel mensual del parche de seguridad de Android.
Esta nueva propiedad nos dirá en su lugar "VENDOR_SECURITY_PATCH" nivel del dispositivo, que puede coincidir o no con el nivel del parche de seguridad de Android Framework. Por ejemplo, un dispositivo puede estar ejecutando los últimos parches del marco de abril de 2018 junto con los parches de proveedores de febrero de 2018. Al distinguir entre los dos niveles de parches de seguridad, es posible que Google tenga la intención de permitir que los OEM envíen el Los últimos parches de seguridad del sistema operativo Android, aunque los proveedores no hayan proporcionado parches actualizados para ese parche mensual. nivel.
Alternativamente, Google puede que solo muestre el mínimo de los dos niveles de parche (junto posiblemente con los niveles de parche del cargador de arranque y del kernel) para mostrar con mayor precisión al usuario en qué parche de seguridad se encuentra su dispositivo. Aún no tenemos confirmación sobre la intención detrás de este parche, pero esperamos saber más pronto.
Como mínimo, esto será útil para aquellos de nosotros que estamos en Proyecto agudosImágenes del sistema genérico (GSI) y otras ROM personalizadas basadas en AOSP, ya que a menudo las ROM personalizadas solo proporcionan actualizaciones del marco sin aplicar parches a todos los proveedores, parches del gestor de arranque y del kernel que se especifican en un boletín de seguridad mensual, por lo que la falta de coincidencia causa confusión entre los usuarios a medida que Piensan que están ejecutando los últimos parches cuando en realidad su dispositivo solo está parcialmente parcheado con las últimas actualizaciones de seguridad mensuales. boletín.