Kuinka kuukausittaiset Android-tietoturvakorjauspäivitykset toimivat

Google on julkaissut kuukausittaisia ​​tietoturvatiedotteita elokuusta 2015 lähtien. Nämä tietoturvatiedotteet sisältävät luettelon julkistetuista suojaushaavoittuvuuksista, jotka on korjattu ja jotka vaikuttavat Android-kehykseen, Linux-ytimeen ja muihin suljetun lähdekoodin toimittajakomponentteihin. Kaikki tiedotteiden haavoittuvuudet joko löysi Google tai paljastettu yritykselle. Jokaisella luetellulla haavoittuvuudella on CVE (Common Vulnerabilities and Exposures) -numero sekä siihen liittyvät viittaukset, haavoittuvuuden tyyppi, vakavuuden arviointi ja AOSP-versio, johon se vaikuttaa (jos sovellettavissa). Mutta huolimatta näennäisesti yksinkertaisesta prosessista, jolla Android-tietoturvakorjaukset toimivat, siinä on itse asiassa jonkin verran monimutkainen edestakaisin kulissien takana, jonka avulla puhelimesi saa kuukausittain tai (toivottavasti) lähes kuukausittain laastareita.

Mikä oikeastaan ​​tekee tietoturvakorjauksesta?

Olet ehkä huomannut, että niitä on joka kuukausi kaksi tietoturvakorjauksen tasot. Näiden korjaustiedostojen muoto on joko VVVV-KK-01 tai VVVV-KK-05. Vaikka VVVV ja MM ilmeisesti edustavat vuotta ja kuukautta, "01" ja "05" hämmentävästi ei tarkoita sen kuukauden päivää, jolloin tietoturvakorjaustaso julkaistiin. Sen sijaan 01 ja 05 ovat itse asiassa kaksi erilaista tietoturvakorjaustasoa, jotka julkaistaan ​​samana päivänä joka kuukausi - korjaustaso, jonka lopussa on 01, sisältää korjauksia Android-kehykseen, mutta ei toimittajan korjaustiedostoja tai ylävirran Linux-ytimen korjauksia. Yllä määrittämämme toimittajakorjaukset viittaavat korjauksiin suljetun lähdekoodin komponentteihin, kuten Wi-Fi- ja Bluetooth-ohjaimiin. Suojauskorjaustaso, jota tarkoittaa -05, sisältää nämä valmistajan korjaustiedostot sekä Linux-ytimen korjaustiedostot. Katso alla oleva taulukko, joka voi auttaa ymmärtämään.

Tietenkin jotkin OEM-valmistajat voivat halutessaan sisällyttää omat korjaustiedostonsa ja päivityksensä myös tietoturvapäivityksiksi. Useimmilla OEM-valmistajilla on oma näkemyksensä Androidista, joten on vain järkevää, että sinulla voi olla esimerkiksi Samsung-puhelimessa haavoittuvuus, jota ei ole Huaweissa. Monet näistä OEM-valmistajista julkaisevat myös omia tietoturvatiedotteitaan.

• Google Pixel
• Huawei
• LG
• Motorola
• HMD Global
• Samsung

Googlen puhelimeesi tekemän tietoturvakorjauksen aikajana

Suojauskorjausten aikajana on suunnilleen noin 30 päivää, vaikka kaikki OEM-valmistajat eivät voi hyödyntää koko aikajanaa. Katsotaanpa Toukokuun 2019 tietoturvakorjaus esimerkiksi, ja voimme hajottaa koko aikajanan tämän korjaustiedoston luomisen takana. Yritykset pitävät Olennaista onnistuvat saamaan tietoturvapäivityksensä samana päivänä kuten Google Pixel, niin miten he tekevät sen? Lyhyt ja yksinkertainen vastaus on, että he ovat Android-kumppani. Toukokuun 2019 tietoturvatiedote julkaistiin 6. toukokuuta, ja sekä Google Pixels että Essential Phone saavat lähes välittömiä päivityksiä.

Mitä Android-kumppanina oleminen tarkoittaa?

Mikä tahansa yritys ei voi olla Android-kumppani, vaikka periaatteessa jokainen suuri Android OEM on sitä. Android Partners ovat yrityksiä, joille on myönnetty lupa käyttää Android-brändiä markkinointimateriaalissa. He voivat myös toimittaa Google Mobile Services (GMS - viittaa lähes kaikkiin Googlen palveluihin) niin kauan kuin ne täyttävät Compatibility Definition Document (CDD) ja läpäise Compatibility Test Suite (CTS), Vendor Test Suite (VTS), Google Test Suite (GTS) ja muutama muu testi. Suojauskorjausprosessissa on selviä eroja yrityksissä, jotka eivät ole Android-kumppani.

• Android-kehyskorjaukset ovat heidän saatavillaan sen jälkeen, kun ne on yhdistetty AOSP: hen 1–2 päivää ennen tietoturvatiedotteen julkaisemista.
• Ylävirran Linux-ytimen korjaustiedostot voidaan valita, kun ne ovat saatavilla.
• Suljetun lähdekoodin komponenttien korjauksia SoC-toimittajilta on saatavilla SoC-toimittajan kanssa tehdyistä sopimuksista riippuen. Huomaa, että jos toimittaja on antanut OEM: lle pääsyn suljetun lähdekoodin komponenttien lähdekoodiin, OEM voi korjata ongelman tai ongelmat itse. Jos OEM: llä ei ole pääsyä lähdekoodiin, heidän on odotettava toimittajan korjaamista.

Jos olet Android-kumppani, sinulla on heti paljon helpompaa. Android-kumppaneille ilmoitetaan kaikista Android-kehysongelmista ja Linux-ytimen ongelmista vähintään 30 päivää ennen tiedotteen julkistamista. Google tarjoaa korjaustiedostoja kaikkiin ongelmiin OEM-valmistajien yhdistämistä ja testaamista varten, vaikka toimittajan komponenttien korjaustiedostot ovat riippuvaisia ​​toimittajasta. Esimerkiksi toukokuun 2019 tietoturvatiedotteessa julkistettuihin Android-kehysongelmiin liittyvät korjaukset toimitettiin Android-kumppaneille ainakin jo 20.3.2019*. Se on paljon lisäajasta.

*Huomaa: Google voi päivittää ja usein päivittää uusimman tietoturvatiedotteen korjaustiedostot julkisuuteen saakka. Nämä päivitykset voivat tapahtua, jos uusia haavoittuvuuksia ja virheitä on löydetty, jos Google päättää poistaa tietyt korjaustiedostot kuukausitiedotteesta koska se rikkoo kriittisiä osia, jos Google päivittää korjaustiedoston korjatakseen korjaustiedoston aiemman version luoman virheen ja muita syyt.

Miksi minun on odotettava niin kauan, että saan tietoturvakorjauksen puhelimeeni?

Vaikka on totta, että Android Partnerit (lue: kaikki suuret OEM-valmistajat) saivat tietoturvakorjaukset hyvissä ajoin ennen julkaisun, monet ovat tuskallisen tietoisia siitä, että he eivät ehkä saa tietoturvapäivitystä kuukausiin sen jälkeen vapauttaa. Tämä johtuu yleensä yhdestä neljästä syystä.

• OEM-valmistajat saattavat joutua tekemään raskaita teknisiä muutoksia voidakseen sisällyttää tietoturvakorjauksen, koska se voi olla ristiriidassa olemassa olevan koodin kanssa.
• Toimittaja on hidas tarjoamaan päivityslähdekoodia suljetun lähdekoodin komponenteille.
• Operaattorin sertifiointi voi viedä aikaa.
• Yritykset eivät ehkä ole halukkaita julkaisemaan tietoturvapäivitystä julkaisematta samalla ominaisuutta.

Vaikka kaikki nämä ovat päteviä syitä olla julkaisematta tietoturvakorjausta, loppukäyttäjä ei aina välitä niistä. Tosin loppukäyttäjä ei aina välitä tietoturvakorjauksistakaan, vaikka pitäisi. Aloitteet, kuten Project Treble, laajennettu Linux LTS, ja Projektin päälinja auttavat poistamaan näiden tietoturvakorjausten yhdistämisen tekniset vaikeudet, mutta se ei riitä, että OEM-valmistajat pyrkivät jatkuvasti julkaisemaan päivityksiä. Generic Kernel Imagen tai GKI: n avulla SoC-toimittajilla ja OEM-valmistajilla on helpompi yhdistää alkupään Linux-ytimen korjaustiedostoja, vaikka emme todennäköisesti näe ensimmäisiä GKI-laitteita ennen ensi vuonna.

Mutta mielenkiintoinen tieto, jota useimmat eivät tiedä, ovat suuret OEM-valmistajat on pakko toimittaa "vähintään neljä tietoturvapäivitystä" vuoden sisällä laitteen julkaisusta ja yhteensä 2 vuotta päivityksiä. Google ei ole vahvistanut näitä erityisehtoja, mutta yritys vahvisti, että he "työskentelivät tietoturvapäivitysten rakentamiseksi [oman] OEM-sopimuksiinsa". Android Enterprise Recommended (AER) -laitteiden osalta laitteiden on hankittava tietoturvapäivitykset 90 päivän kuluessa julkaisusta 3 vuoden ajan. Kestävät AER-laitteet vaaditaan hankkimiseen 5 vuotta tietoturvapäivityksistä. Android One -laitteiden on tarkoitus saada tietoturvapäivityksiä kuukausittain kolmen vuoden ajan.

Mitä tietoturvakorjauksessa on?

Suojauskorjaus on vain yksi päivitys, vaikkakin yleensä paljon pienempi yksittäisten kehysten ja järjestelmämoduulien muutoksilla järjestelmän laajuisten parannusten tai muutosten sijaan. Google toimittaa joka kuukausi laitteiden OEM-valmistajille zip-tiedoston, joka sisältää korjaustiedostot kaikille tärkeimmille tällä hetkellä edelleen tuetuille Android-versioille, sekä tietoturvatestipaketin. Tämä testipaketti auttaa OEM-valmistajia löytämään aukkoja tietoturvakorjauksissa, varmistaakseen, etteivät he menetä mitään ja että paikat yhdistettiin asianmukaisesti. Kuukauden edetessä Google voi tehdä pieniä muutoksia, kuten päättää, että tietty korjaustiedosto on valinnainen, varsinkin jos sen käyttöönotossa on ongelmia.

Entä mukautetut ROM-levyt?

Jos älypuhelimesi ei saa monia tietoturvapäivityksiä, se ei välttämättä tarkoita, että sinun on parempi vaihtaa mukautettuun ROM-muistiin. Vaikka on totta, että saat tietoturvapäivityksiä, joita et muuten olisi saanut, se on vain puolet tarinasta. Käynnistyslataimen lukituksen avaaminen jättää sinut alttiiksi laitteellesi kohdistuville fyysisille hyökkäyksille, vaikka ohjelmistopuolella suojaus olisi koventunut. Tämä ei tarkoita, että sinun ei pitäisi käyttää mukautettuja ROM-levyjä, vaan niiden käyttöön liittyy muita huolenaiheita, jotka eivät päde, jos käynnistyslatain pidetään lukittuna. Jos olet enemmän huolissasi asioiden ohjelmistopuolelta, sinun on silti parempi käyttää mukautettua ROM-muistia, joka saa usein suojauskorjauksia.

Mutta muistatko, että puhuimme VVVV-KK-01- ja VVVV-KK-05-laastarien eroista? Korjaustaso -05 sisältää Linux-ytimen korjaustiedostoja sekä toimittajakorjauksia - suljetun lähdekoodin ohjelmistoihin sovellettuja korjaustiedostoja. Tämä tarkoittaa, että räätälöidyt ROM-kehittäjät ovat kehittämänsä OEM-valmistajan armoilla ja julkaiseeko OEM päivitettyjä blobeja vai ei. Tämä sopii laitteille, joita valmistaja vielä päivittää, mutta laitteille, jotka eivät päivitä, asennetut korjaustiedostot voidaan käyttää vain Android-kehyksessä ja Linux-ytimessä. Tästä syystä LineageOS Luottamusliittymä näyttää kaksi tietoturvakorjaustasoa - yksi on alusta, toinen on myyjä. Vaikka mukautetut ROM-levyt ei-tuetuille laitteille eivät pysty täysin integroimaan kaikkia uusimpia korjaustiedostoja, ne ovat turvallisempia kuin vanhempi, vanhentunut ROM.