Google mahdollisesti jakaa Android-tietoturvakorjaustasoja nopeampien tietoturvapäivitysten saamiseksi

Xda ModitNov 10, 2023
click fraud protection

Äskettäin Androidin avoimen lähdekoodin projektissa löytämämme sitoumuksen mukaan Google valmistautuu tehdäksesi eron toimittajan tietoturvakorjauksen tason ja Android Frameworkin tietoturvakorjauksen välillä taso. Näin OEM-valmistajat voivat pitää Androidin ajan tasalla odottaessaan laitteistovalmistajien tarjoavan korjauksia.

Androidilla oli pitkään alkuhistoriansa maine vähemmän turvallisena kuin iOS, koska Applen "seinämäinen puutarha" lähestymistapa sovelluksiin. Emme aio sukeltaa siihen, onko tämä aikaisempi maine ansaittu vai ei, mutta on selvää, että Google on edistynyt suuresti Androidin suojaamisessa haavoittuvuuksilta. Yritys ei ainoastaan ​​tarjoa uusia suojausominaisuuksia Androidin uusimmassa versiossa, Android P, mutta he tarjoavat myös "yritystason tietoturva" uusimmissa laitteissaan Google Pixel 2/2 XL: n laitteistosuojausmoduulin ansiosta. Laitteen turvassa pitäminen edellyttää myös jatkuvia päivityksiä uusimpien uhkien korjaamiseksi, minkä vuoksi Google on tehnyt sen kuukausittaiset tietoturvatiedotteet

Kaikki laitevalmistajat ja -toimittajat voivat sisällyttää korjaustiedostoja kaikkia tunnettuja aktiivisia ja mahdollisia haavoittuvuuksia vastaan. Nyt näyttää siltä, ​​​​että yritys saattaa tehdä muutoksia Android Security Patch -järjestelmään tarjoamalla tavan erottaa Android-kehyksen korjaustiedoston tason ja toimittajan korjaustiedoston tason yhdessä käynnistyslataimen, ytimen jne. joko jakaa tietoturvakorjaustasot niin, että OEM-valmistajat voivat tarjota puhtaita kehyspäivityksiä tai tunnistaa käyttäjälle paremmin, mitä korjaustasoa he käyttävät.

Kuukausittaiset Android-suojauskorjaukset – aluke

Tiedämme kaikki, että tietoturvakorjaukset ovat tärkeitä, varsinkin sen jälkeen, kun joukko korkean profiilin haavoittuvuuksia julkistettiin viime vuoden toisella puoliskolla. The BlueBorne-haavoittuvuus hyökkäsi Bluetooth-protokollaa vastaan ​​ja korjattiin Syyskuun 2017 kuukausikorjaukset, KRACK kohdistuu Wi-Fi WPA2:n heikkouteen ja korjattiin joulukuuta 2017, ja Spectre/Meltdown-haavoittuvuudet korjattiin enimmäkseen Tammikuun 2018 korjaukset. Tällaisten haavoittuvuuksien korjaaminen vaatii yleensä yhteistyötä laitteistotoimittajan (kuten Broadcomin) kanssa ja Qualcomm), koska haavoittuvuus koskee laitteistokomponenttia, kuten Wi-Fi- tai Bluetooth-sirua tai PROSESSORI. Toisaalta Android-käyttöjärjestelmässä on tämän kaltaisia ​​ongelmia toast message overlay attack jotka vaativat vain päivityksen Android Frameworkiin korjatakseen.

Aina kun Google julkaisee kuukausittaisen tietoturvakorjauksen, laitevalmistajien on korjattava KAIKKI haavoittuvuudet kerrotaan kyseisen kuukauden tietoturvatiedotteessa, jos he haluavat sanoa, että heidän laitteensa on suojattu kyseiseen kuukausittaiseen korjaustiedostoon asti taso. Joka kuukausi on kaksi suojauskorjaustasoa, jotka laite voi täyttää: korjaustaso kuukauden 1. päivänä tai 5. päivänä. Jos laite ilmoittaa käyttävänsä korjaustasoa kuun 1. päivästä alkaen (esim. 1. huhtikuuta huhtikuun 5. päivän sijaan), tämä tarkoittaa, että koontiversio sisältää kaikki kehys- JA toimittajakorjaukset viime kuukauden julkaisusta sekä kaikki uusimman tietoturvatiedotteen kehyskorjaukset. Toisaalta, jos laite sanoo, että se käyttää korjaustasoa kuun 5. päivästä alkaen (huhtikuun 5. esimerkki), se tarkoittaa, että se sisältää kaikki kehys- ja toimittajakorjaukset viime ja tämän kuukauden ajalta tiedote. Tässä on taulukko, joka havainnollistaa peruseroa kuukausittaisten korjaustiedostotasojen välillä:

Kuukausittainen tietoturvakorjaustaso

1. huhtikuuta

5. huhtikuuta

Sisältää huhtikuun puitekorjauksia

Joo

Joo

Sisältää huhtikuun toimittajakorjauksia

Ei

Joo

Sisältää maaliskuun puitekorjauksia

Joo

Joo

Sisältää maaliskuun toimittajakorjauksia

Joo

Joo

Tiedät luultavasti kuinka synkkä tietoturvakorjaustilanne on Android-ekosysteemissä. Alla oleva kaavio osoittaa, että Google ja Essential tarjoavat nopeimmat kuukausittaiset tietoturvakorjauspäivitykset, kun taas muut yritykset jäävät jälkeen. Voi kestää kuukausia, ennen kuin OEM toimittaa viimeisimmät korjaustiedostot laitteeseen, kuten kuinka OnePlus 5 ja OnePlus 5T äskettäin saanut Huhtikuun tietoturvakorjaus kun he olivat aiemmin joulukuun laastari.

Android-tietoturvakorjauksen tila helmikuussa 2018. Lähde: @SecX13

Android Security Patch -päivitysten tarjoamisen ongelma ei välttämättä ole se, että OEM-valmistajat ovat laiskoja, koska joskus se voi olla heidän hallinnassaan. Kuten aiemmin mainitsimme, kuukausittaiset tietoturvakorjauspäivitykset vaativat usein laitteiston yhteistyötä toimittaja, mikä voi aiheuttaa viiveitä, jos toimittaja ei pysty pysymään kuukausittaisen tietoturvakorjauksen mukana tiedotteet. Tämän torjumiseksi näyttää siltä, ​​​​että Google saattaa alkaa erottaa Android Frameworkin suojauskorjaustason toimittajan korjaustiedostotasosta. (ja mahdollisesti käynnistyslataimen ja ytimen tasolla), jotta tulevaisuudessa OEM-valmistajat voivat pystyä tarjoamaan puhtaasti Android-kehyssuojauksen päivitykset.

Nopeammat Android-tietoturvakorjauspäivitykset Frameworkin haavoittuvuuksiin?

Uusi tehdä on ilmestynyt Android Open Source Project (AOSP) -gerritissä, joka vihjaa "toimittajan tietoturvakorjaukseen prop", joka määritettäisiin Android.mk-tiedostoissa aina, kun laitteeseen rakennetaan uutta luotu. Tämän ominaisuuden nimi on "ro.vendor.build.security_patch"ja tulee olemaan analoginen"ro.build.version.security_patch", joka on tällä hetkellä olemassa kaikissa Android-laitteissa ja määrittää kuukausittaisen Android-tietoturvakorjauksen tason.

Tämä uusi omaisuus sen sijaan kertoo meille "VENDOR_SECURITY_PATCH" laitteen tasoa, joka saattaa vastata Android Frameworkin tietoturvakorjaustasoa tai ei. Laitteessa voi esimerkiksi olla käynnissä viimeisimmät huhtikuun 2018 kehyskorjaukset sekä helmikuun 2018 toimittajakorjaukset. Erottamalla kaksi tietoturvakorjaustasoa on mahdollista, että Google aikoo antaa OEM-valmistajien toimittaa uusimmat Android-käyttöjärjestelmän tietoturvakorjaukset, vaikka toimittajat eivät ole toimittaneet päivitettyjä korjaustiedostoja kyseiselle kuukausikorjaukselle taso.

Vaihtoehtoisesti, Google voi näyttää vain minimin kahdesta korjaustiedostotasosta (mahdollisesti käynnistyslataimen ja ytimen korjauspäivitystasojen rinnalla), jotta käyttäjälle voidaan näyttää tarkemmin, mikä suojauskorjaus hänen laitteessa on. Meillä ei ole vielä vahvistusta tämän korjaustiedoston aikomuksesta, mutta toivomme saavamme lisätietoja pian.

Google Pixel 2 XL Android P Developer Preview 1:ssä maaliskuun 2018 tietoturvakorjauksilla

Tästä on ainakin meille apua Projekti TrebleYleiset järjestelmäkuvat (GSI) ja muut AOSP-pohjaiset mukautetut ROM-levyt, koska usein mukautetut ROM-levyt tarjoavat vain kehyspäivityksiä korjaamatta kaikkia toimittajaa, käynnistyslatain ja ytimen korjaustiedostot, jotka on määritelty kuukausittaisessa tietoturvatiedotteessa, joten epäsuhta aiheuttaa hämmennystä käyttäjille, kun he luulevat käyttävänsä uusimpia korjaustiedostoja, vaikka todellisuudessa heidän laitteensa on vain osittain korjattu viimeisimmän kuukausittaisen tietoturvan varalta tiedote.