Ainutlaatuinen: Google aikoo lieventää Android Enterprise Recommended -tietoturvapäivityksiä

Android Enterprise Recommended -ohjelmassa saattaa näkyä lievempiä tietoturvapäivitysvaatimuksia XDA: n tarkistaman vuotaneen asiakirjan mukaan.

Vaikka Android on yleisesti hallitseva älypuhelinten käyttöjärjestelmä tietojen mukaan IDC, Applen iOS on useimmille yrityksille paras käyttöjärjestelmä. On helppo ymmärtää miksi: Apple päivittää iOS-laitteitaan yleensä paljon pidempään ja johdonmukaisemmin kuin useimmat Android-laitteiden valmistajat päivittää älypuhelimensa, iPhonet on helppo määrittää ja hallita, ja tuettavia SKU: ita on paljon vähemmän, jos yritys valitsee Omena. Mutta yrityksillä on myös syitä valita Android-laite, mukaan lukien alhaisemmat kustannukset ja enemmän joustavuutta laitteistossa. Tehdäkseen Androidista entistä houkuttelevamman työpaikalla Google julkaisi "Android for Workin" vuoden 2015 alussa (myöhemmin tuotenimeksi "Android Enterprise" vuoden 2016 lopulla). Sitten vuoden 2018 alussa Google lanseerasi Android Enterprise Recommended (AER) -ohjelma sertifioida laitteet yrityskäyttöön. Google kodifioi joukon vaatimuksia, jotka laitteiden on täytettävä ollakseen "Android Enterprise Recommended", mukaan lukien laitteiston vähimmäisvaatimukset, tuki joukkokäyttöön, lukitsemattomien laitteiden saatavuus, sovellusten toiminnan johdonmukaisuus hallinnoiduissa profiileissa ja Android-tietoturvapäivitysten toimittaminen 90 päivän kuluessa julkaisusta vähintään kolmelle vuotta.

Kuitenkin dokumentit, jotka Android-kehittäjä @ on paljastanutdeletescape jotka arvostelivat XDA-kehittäjät paljastaa, että Google aikoo höllentää Android Enterprise Recommended -laitteiden tietoturvapäivitysvaatimuksia. Sen sijaan Google vaatii toimittajia kertomaan avoimemmin, kuinka he käsittelevät tietoturvapäivityksiä. @deletescapen mukaan nämä asiakirjat on jaettu toimittajien kanssa viimeisten 15 päivän aikana. Emme siis voi taata, että nämä Android Enterprise Recommended -ohjelmaan ehdotetut muutokset tulevat voimaan Viimeiseen vaatimusluetteloon voimme ainakin vahvistaa, että Google on ottanut nämä huomioon aivan äskettäin muutoksia.

Tällä hetkellä niitä on 170 erilaista Android-laitetta jotka ovat Android Enterprisen suosittelemia. HMD Global, Sony, Motorola, OPPO, Ja tietenkin, Google, tarjoavat AER-laitteita. Jopa OnePlus harkitsee laitteidensa sertifioimista ohjelman mukaisesti. Tunnetut kuluttajaälypuhelinmerkit eivät kuitenkaan ole ainoita Android Enterprise Recommended -laitteita myyviä yrityksiä. Kestävät älypuhelimet Zebra, Honeywell, Sonim ja muut yritykset ovat mukana ohjelmassa ja nyt jopa kantajia voi myydä AER-laitteita suoraan yrityksille, jos ne hyväksyvät nopeasti tietoturvan ylläpitojulkaisut.

Laitteen hallintaprosessi Android 10:ssä. Lähde: Jason Bayton

The luettelo vaatimuksista AER: iin pääsyyn tarvittava määrä ei ole niin laaja - monet muut Android-laitteet olisivat voineet päästä luetteloon alhaisten peruslaitteistovaatimusten vuoksi. Edes AER: n ohjelmistovaatimukset eivät vaadi toimittajilta monia muutoksia, kuten useissa Googlen sisäisissä asiakirjoissa on esitetty. Yhdessä asiakirjoista kuvataan, kuinka toimittajien on suunniteltava kuvakemerkit työprofiilin sovelluksille ja lisättävä työprofiilin sovelluksille oma välilehti. käynnistysohjelma, erilliset jakokohteet henkilökohtaisen ja työprofiilin sovelluksille, esilataa tiettyjä Google-sovelluksia ja hallitse profiilien välistä dataa viestintää. Toisessa asiakirjassa kuvataan UX-vaatimukset työprofiilin käynnistysvälilehdelle, työprofiilin pika-asetuksella laatta, työprofiilin valintaikkunat, käynnistysohjelman koulutusviestit, kontekstin vaihtaminen ja muu järjestelmän suunnittelu elementtejä. Näiden vaatimusten tarkoituksena on edistää hyväksyttävien laitteistojen ja ohjelmistojen UX-yhteensopivuutta Android Enterprise Recommended -laitteiden välillä.

Työprofiilin käyttökokemus muuttuu Android 11:ssä. Vasemmalla: Henkilökohtainen-välilehti ja Työ-välilehti kohdassa Asetukset > Sovellustiedot. Oikealle: Työsovelluskuvakkeet näkyvät harmaina, kun työprofiili on keskeytetty. Lähde: Google.

Näyttää kuitenkin siltä, ​​​​että laitteiden vaatimus saada nopeasti tietoturvakorjauspäivitykset kuukausittain Android Security Bulletin (ASB) on osoittautunut liian korkeaksi esteeksi monille myyjille.

Google Pushes for Update Transparency for Android Enterprise -suositus

Android-kehittäjä @deletescape, joka jakoi äskettäin vuotaneen luonnoksen Googlen yhteensopivuusmääritelmäasiakirja Android 11:lle, sai vuotaneen luonnoksen uusista Android Enterprise Recommended -vaatimuksista Android 11 -käyttöjärjestelmää käyttäville laitteille. Alla "Laitteen suojaus" -osiossa, jonka olemme toistaneet alla, Google ehdottaa useiden AER-ohjelman vaatimusten poistamista. Näiden uusien ehdotettujen sääntöjen mukaan AER-laitteet eivät enää voi vastaanottaa tietoturvakorjauspäivityksiä 90 päivän kuluessa ASB: stä. Mielenkiintoista on, että yksi kaavion riveistä viittaa siihen, että Google itse asiassa kiristi tätä vaatimusta 90 päivästä 30 päivään siirtyessään Android 10:een, mutta Google ei ole vieläkään päivittänyt julkinen lista vaatimuksista kuvastaa tätä muutosta. Ehdotettujen muutosten mukaan tämä vaatimus ei kuitenkaan enää koske Android Enterprise Recommended -laitteita, joissa on Android 11. Lisäksi toimittajia ei enää vaadita kolmen vuoden säännöllisten tietoturvapäivitysten toimittamiseen AER-laitteille. Heidän on kuitenkin edelleen toimitettava "Emergency Security Maintenance Release" (ESMR) -päivitykset, mikä oletettavasti tarkoittaa, että heidän on julkaistava vain päivitykset, jotka sisältävät korjauksia kriittiseen tietoturvaan haavoittuvuuksia.

Android 10 vs. Android 11 – Android Enterprisen laitesuojausvaatimukset suositeltavat

Kategoria

Sarjanumero

PAKO / TOUKOKUU

Attribuutti ja toteutus

Kommentit

Q (Android 10)

R (Android 11)

Laitteen suojaus

1

SAATTAA

OEM Vulnerability Rewards -ohjelman (VRP) käyttäminen

OEM Vulnerability Rewards -ohjelman (VRP) käyttäminen

2

SAATTAA

StrongBox-tuki

StrongBox-tuki

3

SAATTAA

Laitteistotuettu Keystore-tuki

Laitteistotuettu Keystore-tuki

4

SAATTAA

Laitetunnuksen todistustuki

Laitetunnuksen todistustuki

5

SAATTAA

Avaintodistustuki

Avaintodistustuki

6

30 päivän tietoturvapäivitykset

Vaatimus poistettu

Korvattu turvallisuuden läpinäkyvyysvaatimuksella

7

ON PAKKO

3 vuoden tuki hätätilanteen tietoturvan ylläpitojulkaisulle (ESMR)

3 vuoden tuki hätätilanteen tietoturvan ylläpitojulkaisulle (ESMR)

Korvattu turvallisuuden läpinäkyvyysvaatimuksella

8

Tiedostopohjainen salaus - oletuksena käytössä. Käyttää AOSP-toteutusta.

Vaatimus poistettu

Tämä on GMS-vaatimus, joka on pakotettu kaikille laitteille

9

90 päivän tietoturvapäivitykset

Vaatimus poistettu

Korvattu turvallisuuden läpinäkyvyysvaatimuksella

10

3 vuoden tietoturvapäivitystuki (voi alle 3. vuoden ESMR)

Vaatimus poistettu

Korvattu turvallisuuden läpinäkyvyysvaatimuksella

11

Julkaise uusin tietoturvakorjaustaso

Vaatimus poistettu

Korvattu turvallisuuden läpinäkyvyysvaatimuksella

Lue lisää

Kuten kaaviossa mainitaan, Google ehdottaa monien näiden vaatimusten korvaamista uusilla "avoimuusvaatimuksilla". Google todellakin ehdottaa uuden osion lisäämistä "Tietoturva/käyttöjärjestelmäpäivitykset läpinäkyvyys." Uudet vaatimukset määrittelevät, kuinka toimittajien on julkaistava tiedot, kuten tietoturvan ylläpitojulkaisujen käyttöiän päättymispäivä, uusin tietoturvakorjaus mikä on saatavilla, kuinka usein laite vastaanottaa päivityksiä, mitä korjauksia kukin päivitys sisältää, laitteen toimitukset ja suunnitellut ohjelmistopäivitykset ja paljon muuta. Mielenkiintoista on, että Google vaatii myös, että Android 11 -laitteet läpäisevät sertifiointitestauksen ioXt Alliance ennen kuin niistä voi tulla Android Enterprise Recommended. ioXt Alliance on yritysten yhteenliittymä, jonka tavoitteena on parantaa IoT-tuotteiden turvallisuutta. Sen jäseniä ovat Amazon, Facebook, Google, NXP ja muut. Google sanoo, että tämän sertifikaatin saaminen lisää läpinäkyvyyttä, luultavasti koska se antaa yrityksille riippumaton mittari siitä, kuinka turvallinen tietty laite on, eikä vain Googlen vakuutus.

Suojaus-/käyttöjärjestelmäpäivitysten läpinäkyvyys (uudet) vaatimukset Android Enterpriselle Suositeltava

Kategoria

Sarjanumero

PAKO / TOUKOKUU

Attribuutti ja toteutus

Kommentit

Q (Android 10)

R (Android 11)

Tietoturva/käyttöjärjestelmäpäivitykset läpinäkyvyys

1

ON PAKKO

TÄYTYY julkaista seuraavat päivitystiedot OEM-verkkosivustolla - SMR-tuen päättymispäivä (viimeinen päivämäärä, jolloin laite vastaanottaa SMR: n) - Viimeisin suojauskorjaus saatavilla- Laitteen vastaanottamien päivitysten tiheys- Suojauskorjauksen sisältämät korjaukset, mukaan lukien OEM-kohtaiset korjauksia

Vaatimuksen muuttaminen SMR-tuesta SMR: n/korjausten/päivitysten läpinäkyvyyteen

2

ON PAKKO

TÄYTYY julkaista seuraavat käyttöjärjestelmätiedot OEM-sivustolla - käyttöjärjestelmä, jonka mukana laite toimitetaan - Nykyinen pääkäyttöjärjestelmäversio - Kaikki tärkeimmät käyttöjärjestelmäversiot, jotka laite vastaanottaa

Vaatimuksen muuttaminen tuesta läpinäkyvyyteen esim.: Pixel 3 – Toimitettu versio – Android 9 – Nykyinen versio – Android 10 – Odotettu pääversio – Android 11

3

ON PAKKO

Lähetä laitteelle IoXT-sertifikaatti

IoXT-pisteytys lisää läpinäkyvyyttä

Lue lisää

Ei ole mikään salaisuus, että toimittajilla on vaikeuksia pysyä mukana kuukausittaisten tietoturvapäivitysten julkaisemisessa. On monia, monia syitä, miksi näin on: operaattorin sertifioinnin viiveet, korjaustiedostojen odottaminen piirisarjasta ja muut toimittajat, korjaustiedostojen asentamisen vaikeus voimakkaasti muokattuihin Android-kehysrakennuksiin ja puun ulkopuolisiin Linux-ytimiin ja lisää. Jotkut Android-käyttäjät ovat jopa huomanneet, kuinka jotkut myyjät eivät täytä AER-vaatimuksia. Vaikka Googlen kehitystyöt ja lisenssisopimukset ovat auttoi parantamaan kuinka nopeasti tietoturvapäivitykset julkaistaan ​​monille laitteille, ne eivät selvästikään ole pystyneet täyttämään Android Enterprise Recommended -ohjelman nykyisiä tietoturvakorjausvaatimuksia. Näiden vaatimusten lieventäminen avoimuuden lisäämiseksi auttaa tekemään ohjelman saatavuuden helpommaksi myyjille ja antaa yrityksille enemmän luottamusta tiettyyn laitteeseensa, jonka he valitsevat työntekijöitä.

Suojauskorjauspäivitysten ehdotettu lieventäminen ei tietenkään ole ainoa muutos, joka saattaa tulla Android Enterprise Recommended -ohjelmaan Android 11:lle. Google aikoo myös nostaa laitteiston vähimmäisvaatimuksia 2 Gt: sta 3 Gt RAM-muistiin, tiukentaa koulutusvaatimuksia ja ottaa käyttöön uudet vaatimukset työprofiilin UX: lle. Suurin osa näistä muutoksista ei kuitenkaan vaikuta tietotyöntekijöihin. Yrityksen Android on kasvanut paljon alkuajoistaan. Jos olet kiinnostunut oppimaan lisää sen historiasta, suosittelen lukemista tämä erinomainen artikkeli Jason Baytonilta.