Comment fonctionnent les mises à jour mensuelles des correctifs de sécurité Android

Vous êtes-vous déjà demandé comment fonctionnent les mises à jour mensuelles des correctifs de sécurité Android? Ne vous posez plus la question, car nous avons juste une introduction pour vous permettre de comprendre l'ensemble du processus.

Google publie des bulletins de sécurité mensuels depuis août 2015. Ces bulletins de sécurité contiennent une liste de vulnérabilités de sécurité révélées qui ont été corrigées et qui affectent le framework Android, le noyau Linux et d'autres composants de fournisseurs fermés. Chaque vulnérabilité présente dans les bulletins a été découverte par Google ou divulgué à l'entreprise. Chaque vulnérabilité répertoriée possède un numéro CVE (Common Vulnerabilities and Exposures), ainsi que les informations associées. références, le type de vulnérabilité, une évaluation de la gravité et la version AOSP affectée (si en vigueur). Mais malgré le processus apparemment simpliste derrière le fonctionnement des correctifs de sécurité Android, il existe en réalité un problème quelque peu des allers-retours compliqués dans les coulisses qui permettent à votre téléphone de devenir mensuel ou (espérons-le) presque mensuel des correctifs.

Qu’est-ce qui constitue réellement un correctif de sécurité?

Vous avez peut-être remarqué que chaque mois, il y a effectivement deux niveaux de correctifs de sécurité. Le format de ces correctifs est soit AAAA-MM-01, soit AAAA-MM-05. Alors que AAAA et MM représentent évidemment respectivement l'année et le mois, les « 01 » et « 05 » ne signifient pas réellement le jour du mois au cours duquel ce niveau de correctif de sécurité a été publié. Au lieu de cela, les niveaux 01 et 05 sont en fait deux niveaux de correctifs de sécurité différents publiés le même jour chaque mois: le niveau de correctif avec 01 à la fin contient des correctifs pour le framework Android, mais pas correctifs du fournisseur ou correctifs du noyau Linux en amont. Les correctifs des fournisseurs, comme nous l'avons défini ci-dessus, font référence à des correctifs apportés à des composants de source fermée tels que les pilotes pour Wi-Fi et Bluetooth. Le niveau de correctif de sécurité indiqué par -05 contient ces correctifs de fournisseur ainsi que les correctifs du noyau Linux. Jetez un œil au tableau ci-dessous qui peut vous aider à comprendre.

Niveau de correctif de sécurité mensuel

2019-04-01

2019-04-05

Contient les correctifs du framework d'avril

Oui

Oui

Contient le fournisseur d'avril + les correctifs du noyau

Non

Oui

Contient les correctifs du framework de mars

Oui

Oui

Contient les correctifs du fournisseur de mars et du noyau

Oui

Oui

Bien entendu, certains OEM peuvent également choisir d’intégrer leurs propres correctifs et mises à jour dans les mises à jour de sécurité. La plupart des constructeurs OEM ont leur propre version d'Android. Il est donc logique que vous ayez, par exemple, une vulnérabilité sur un téléphone Samsung qui n'existe pas sur un Huawei. Beaucoup de ces constructeurs OEM publient également leurs propres bulletins de sécurité.

  • Google-Pixels
  • Huawei
  • LG
  • Motorola
  • HMD mondial
  • Samsung

La chronologie d'un correctif de sécurité de Google sur votre téléphone

Les correctifs de sécurité ont un délai d'environ 30 jours, bien que tous les OEM ne puissent pas profiter de la totalité de ce délai. Jetons un coup d'oeil à Correctif de sécurité de mai 2019 par exemple, et nous pouvons décomposer toute la chronologie derrière la création de ce patch. Des entreprises comme Essentiel parviennent à sortir leurs mises à jour de sécurité le même jour comme le Google Pixel, alors comment font-ils? La réponse courte et simple est qu'il s'agit d'un Partenaire Android. Le bulletin de sécurité de mai 2019 a été publié le 6 mai, les Google Pixels et l'Essential Phone bénéficiant de mises à jour quasi immédiates.

Ce que signifie être un partenaire Android

N’importe quelle entreprise ne peut pas être un partenaire Android, même s’il est vrai que tous les principaux OEM Android le sont. Les partenaires Android sont les entreprises qui bénéficient d'une licence pour utiliser la marque Android dans leurs supports marketing. Ils sont également autorisés à proposer des services mobiles Google (GMS – fait référence à presque tous les services Google) à condition qu'ils répondent aux exigences décrites dans le Document de définition de compatibilité (CDD) et réussissez la suite de tests de compatibilité (CTS), la suite de tests des fournisseurs (VTS), la suite de tests Google (GTS) et quelques autres tests. Il existe des différences distinctes dans le processus de mise à jour des correctifs de sécurité pour les entreprises qui ne sont pas un partenaire Android.

  • Les correctifs du framework Android sont disponibles après avoir été fusionnés dans AOSP 1 à 2 jours avant la publication du bulletin de sécurité.
  • Les correctifs du noyau Linux en amont peuvent être sélectionnés une fois disponibles.
  • Les correctifs des fournisseurs de SoC pour les composants à source fermée sont disponibles en fonction des accords avec le fournisseur de SoC. Notez que si le fournisseur a donné à l'OEM l'accès au code source du ou des composants à source fermée, l'OEM peut résoudre lui-même le ou les problèmes. Si l'OEM n'a pas accès au code source, il doit alors attendre que le fournisseur publie un correctif.

Si vous êtes un partenaire Android, c'est immédiatement beaucoup plus facile. Les partenaires Android sont informés de tous les problèmes liés au framework Android et au noyau Linux au moins 30 jours avant la publication du bulletin. Google fournit des correctifs pour tous les problèmes que les OEM peuvent fusionner et tester, bien que les correctifs des composants du fournisseur dépendent du fournisseur. Par exemple, des correctifs pour les problèmes liés au framework Android révélés dans le bulletin de sécurité de mai 2019 ont été fournis aux partenaires Android au moins dès le 20 mars 2019*. C'est un parcelle de temps supplémentaire.

*Remarque: Google peut mettre à jour, et le fait souvent, les correctifs du dernier bulletin de sécurité jusqu'à la publication publique. Ces mises à jour peuvent avoir lieu si de nouvelles vulnérabilités et bugs ont été découverts, si Google décide de supprimer certains correctifs du bulletin mensuel. en raison de la rupture de composants critiques, si Google met à jour un correctif pour résoudre un bogue créé par la version précédente du correctif, et d'autres les raisons.

Pourquoi dois-je attendre si longtemps pour recevoir un correctif de sécurité sur mon téléphone ?

S'il est vrai que les partenaires Android (lire: tous les principaux constructeurs OEM) ont reçu des correctifs de sécurité bien avant leur version, beaucoup sont douloureusement conscients qu'ils ne recevront peut-être pas de mise à jour de sécurité avant des mois après sa sortie. libérer. Cela est généralement dû à l’une des quatre raisons suivantes.

  • Les OEM devront peut-être apporter d’importantes modifications techniques afin de s’adapter à un correctif de sécurité, car celui-ci peut entrer en conflit avec le code existant.
  • Le fournisseur tarde à fournir le code source de mise à jour pour les composants à source fermée.
  • La certification du transporteur peut prendre du temps.
  • Les entreprises peuvent ne pas vouloir publier une mise à jour de sécurité sans publier simultanément une fonctionnalité.

Bien que toutes ces raisons soient valables pour qu'une entreprise ne publie pas de correctif de sécurité, l'utilisateur final ne s'en soucie pas toujours. Certes, l’utilisateur final ne se soucie pas toujours non plus des correctifs de sécurité, même s’il le devrait. Des initiatives comme le Projet Treble, Linux LTS étendu, et Ligne principale du projet contribuent à éliminer les difficultés techniques liées à la fusion de ces correctifs de sécurité, mais cela ne suffit pas pour inciter les constructeurs OEM à s'efforcer systématiquement de publier des mises à jour. Avec une image générique du noyau, ou GKI, les fournisseurs de SoC et les OEM auront plus de facilité à fusionner les correctifs du noyau Linux en amont, même si nous ne verrons probablement pas les premiers appareils dotés de GKI avant l'année prochaine.

Mais une information intéressante que la plupart ne connaissent pas est que les principaux constructeurs OEM doit fournir "au moins quatre mises à jour de sécurité" dans l'année suivant le lancement d'un appareil, et 2 ans de mises à jour au total. Google n'a pas confirmé ces conditions spécifiques, mais la société a confirmé qu'elle "avait travaillé à l'intégration de correctifs de sécurité dans [leurs] accords OEM". En ce qui concerne les appareils Android Enterprise Recommendation (AER), les appareils doivent recevoir des mises à jour de sécurité dans les 90 jours suivant leur sortie pendant 3 ans. Des appareils AER robustes sont nécessaires pour obtenir 5 années des mises à jour de sécurité. Les appareils Android One sont censés recevoir des mises à jour de sécurité chaque mois pendant 3 ans.

Que contient un correctif de sécurité?

Un correctif de sécurité n'est qu'une autre mise à jour, bien que généralement beaucoup plus petite, avec des modifications apportées aux cadres individuels et aux modules système plutôt que des améliorations ou des modifications à l'échelle du système. Chaque mois, Google fournit aux OEM d'appareils un fichier zip contenant des correctifs pour toutes les principales versions d'Android actuellement encore prises en charge, ainsi qu'une suite de tests de sécurité. Cette suite de tests aide les OEM à détecter les lacunes des correctifs de sécurité, pour s'assurer qu'ils ne manquent de rien et que les correctifs ont été fusionnés de manière appropriée. Au fil du mois, Google peut apporter des révisions mineures, par exemple décider qu'un correctif spécifique est facultatif, en particulier en cas de problèmes de mise en œuvre.

Qu’en est-il des ROM personnalisées?

Si votre smartphone ne reçoit pas beaucoup de mises à jour de sécurité, cela ne signifie pas nécessairement que vous feriez mieux de passer à une ROM personnalisée. S'il est vrai que vous obtiendrez des mises à jour de sécurité que vous n'auriez pas obtenues autrement, ce n'est que la moitié de l'histoire. Déverrouiller votre bootloader vous rend vulnérable aux attaques physiques sur votre appareil, même si côté logiciel, la sécurité est renforcée. Cela ne veut pas dire que vous ne devriez pas utiliser de ROM personnalisées, c'est simplement qu'il existe d'autres problèmes liés à leur utilisation qui ne s'appliquent pas si votre chargeur de démarrage est verrouillé. Si vous êtes plus préoccupé par le côté logiciel, il est préférable d'utiliser une ROM personnalisée qui reçoit des correctifs de sécurité fréquents.

Mais rappelez-vous que nous avons parlé de la différence entre les correctifs AAAA-MM-01 et AAAA-MM-05? Le niveau de correctif -05 contient les correctifs du noyau Linux ainsi que les correctifs des fournisseurs - correctifs appliqués aux logiciels à code source fermé. Cela signifie que les développeurs de ROM personnalisées sont à la merci de l'OEM pour lequel ils développent, et si l'OEM publie ou non des blobs mis à jour. Cela convient aux appareils qui sont encore mis à jour par le fabricant, mais pour les appareils qui ne le sont pas, les correctifs appliqués ne peuvent être appliqués qu'au framework Android et au noyau Linux. C'est pourquoi LineageOS Interface de confiance montre deux niveaux de correctifs de sécurité: l'un étant la plate-forme, l'autre étant le fournisseur. Même si les ROM personnalisées pour les appareils non pris en charge ne peuvent pas intégrer pleinement tous les derniers correctifs, elles seront plus sécurisées que les anciennes ROM obsolètes.