Exclusif: Google envisage d'assouplir les mises à jour de sécurité pour Android Enterprise Recommandé

Le programme Android Enterprise Recommendation peut voir des exigences de mise à jour de sécurité assouplies, selon un document divulgué examiné par XDA.

Alors qu'Android est le système d'exploitation dominant pour les smartphones, selon les données de IDC, iOS d'Apple est le système d'exploitation de choix pour la plupart des entreprises. Il est facile de comprendre pourquoi: Apple met à jour ses appareils iOS généralement beaucoup plus longtemps et de manière plus cohérente que la plupart des fabricants d'appareils Android. mettre à jour leurs smartphones, les iPhones sont simples à configurer et à gérer, et il y a beaucoup moins de SKU à prendre en charge si une entreprise choisit Pomme. Mais il existe également des raisons pour lesquelles les entreprises choisissent un appareil Android, notamment un coût réduit et une plus grande flexibilité matérielle. Pour rendre Android encore plus attrayant pour le lieu de travail, Google a lancé « Android for Work » début 2015 (rebaptisé plus tard « Android Enterprise »).

fin 2016). Puis début 2018, Google a lancé le Programme Android recommandé par les entreprises (AER) pour certifier les appareils à usage professionnel. Google a codifié un ensemble d'exigences auxquelles les appareils doivent répondre pour être "Android Enterprise Recommendation", y compris les spécifications matérielles minimales, la prise en charge du déploiement groupé, disponibilité des appareils déverrouillés, cohérence du comportement des applications exécutées dans les profils gérés et livraison des mises à jour de sécurité Android dans les 90 jours suivant la sortie pendant au moins trois années.

Cependant, les documents découverts par le développeur Android @supprimerscape qui ont été examinés par Développeurs XDA révèlent que Google envisage d'assouplir les exigences de mise à jour de sécurité pour les appareils Android Enterprise recommandés. Au lieu de cela, Google fait pression pour que les fournisseurs soient plus transparents sur la manière dont ils gèrent les mises à jour de sécurité. Selon @deletescape, ces documents ont été partagés avec les fournisseurs au cours des 15 derniers jours. Ainsi, même si nous ne pouvons pas garantir que ces modifications proposées à Android Enterprise Recommendation seront appliquées dans la liste finale des exigences, nous pouvons au moins confirmer que Google a très récemment pris en compte ces changements.

Il y a actuellement 170 appareils Android différents qui sont recommandés par Android Enterprise. HMD mondial, Sony, Motorola, OPPO, et bien sûr, Google, proposent des appareils qui sont AER. Même OnePlus envisage de faire certifier ses appareils dans le cadre du programme. Cependant, les marques de smartphones grand public bien connues ne sont pas les seules entreprises à vendre des appareils Android Enterprise Recommendation. Smartphones robustes d'entreprises comme Zebra, Honeywell, Sonim et d'autres sont inclus dans le programme, et maintenant même les transporteurs peuvent vendre des appareils AER directement aux entreprises, à condition qu'elles approuvent rapidement les versions de maintenance de sécurité.

Le flux de provisionnement des appareils dans Android 10. Source: Jason Bayton

Le liste des exigences les exigences matérielles nécessaires pour accéder à l'AER ne sont pas si étendues: de nombreux autres appareils Android auraient pu figurer sur la liste étant donné la faible configuration matérielle requise. Même les exigences logicielles de l'AER ne nécessitent pas beaucoup de modifications de la part des fournisseurs, comme le soulignent plusieurs documents internes de Google. L'un des documents décrit comment les fournisseurs doivent concevoir des badges d'icônes pour les applications du profil professionnel, ajouter un onglet dédié aux applications de profil professionnel dans le profil professionnel. lanceur, séparez les cibles de partage pour les applications du profil personnel et professionnel, préchargez certaines applications Google et gérez les données entre profils communication. Un autre document décrit les exigences UX pour l'onglet du lanceur de profil professionnel, le paramètre rapide du profil professionnel. vignette, boîtes de dialogue de profil professionnel, messages éducatifs du lanceur, changement de contexte et autre conception du système éléments. Ces exigences visent à promouvoir une norme minimale de matériel acceptable ainsi qu’une cohérence UX logicielle entre les appareils Android Enterprise Recommendation.

Modifications de l'UX du profil professionnel dans Android 11. À gauche: onglet Personnel et onglet Travail dans Paramètres > Informations sur l'application. À droite: les icônes des applications professionnelles sont grisées lorsque le profil professionnel est mis en pause. Source: Google.

Cependant, il semble que la nécessité pour les appareils d'obtenir rapidement des mises à jour des correctifs de sécurité après chaque mois Bulletin de sécurité Android (ASB) s'est avéré être un obstacle trop élevé pour de nombreux fournisseurs.

Google insiste pour que la transparence des mises à jour soit recommandée pour Android Enterprise

Développeur Android @supprimerscape, qui a récemment partagé un brouillon divulgué de Document de définition de compatibilité de Google pour Android 11, a obtenu une fuite d'une ébauche des nouvelles exigences Android Enterprise recommandées pour les appareils exécutant Android 11. Sous le "Sécurité des appareils", que nous reproduisons ci-dessous, Google propose la suppression d'un certain nombre d'exigences pour le programme AER. En vertu de ces nouvelles règles proposées, les appareils AER ne seront plus assurés de recevoir des mises à jour de correctifs de sécurité dans les 90 jours suivant un ASB. Il est intéressant de noter que l'une des lignes du graphique suggère que Google a en fait resserré cette exigence de 90 jours à 30 jours avec le passage à Android 10, mais Google n'a toujours pas mis à jour la liste publique des exigences pour refléter ce changement. Néanmoins, en vertu des modifications proposées, cette exigence ne s’appliquera plus aux appareils Android Enterprise Recommendation exécutant Android 11. De plus, les fournisseurs ne seront plus tenus de fournir 3 ans de mises à jour de sécurité régulières pour les appareils AER. Ils seront cependant toujours tenus de fournir des mises à jour « Emergency Security Maintenance Release » (ESMR), ce qui signifie probablement qu'ils n'ont qu'à déployer des mises à jour contenant des correctifs pour la sécurité critique vulnérabilités.

Android 10 contre Android 11 – Exigences de sécurité des appareils pour Android Enterprise recommandées

Catégorie

Numéro de série

DOIT / PEUT

Attribut et mise en œuvre

commentaires

Q (Android 10)

R (Android 11)

Sécurité des appareils

1

PEUT

Gérer un programme de récompenses de vulnérabilité OEM (VRP)

Gérer un programme de récompenses de vulnérabilité OEM (VRP)

2

PEUT

Prise en charge de StrongBox

Prise en charge de StrongBox

3

PEUT

Prise en charge du Keystore soutenu par le matériel

Prise en charge du Keystore soutenu par le matériel

4

PEUT

Prise en charge de l'attestation d'identification de l'appareil

Prise en charge de l'attestation d'identification de l'appareil

5

PEUT

Prise en charge des attestations clés

Prise en charge des attestations clés

6

Mises à jour de sécurité pendant 30 jours

Exigence supprimée

Remplacé par l'exigence de transparence en matière de sécurité

7

DOIT

Assistance de 3 ans pour la version de maintenance de sécurité d'urgence (ESMR)

Assistance de 3 ans pour la version de maintenance de sécurité d'urgence (ESMR)

Remplacé par l'exigence de transparence en matière de sécurité

8

Cryptage basé sur les fichiers: activé par défaut. Utilise l’implémentation AOSP.

Exigence supprimée

Il s'agit d'une exigence GMS appliquée à tous les appareils

9

Mises à jour de sécurité de 90 jours

Exigence supprimée

Remplacé par l'exigence de transparence en matière de sécurité

10

Support des mises à jour de sécurité pendant 3 ans (peut être inférieur à l'ESMR de 3e année)

Exigence supprimée

Remplacé par l'exigence de transparence en matière de sécurité

11

Publier le dernier niveau de correctif de sécurité

Exigence supprimée

Remplacé par l'exigence de transparence en matière de sécurité

En savoir plus

Comme mentionné dans le tableau, Google propose de remplacer bon nombre de ces exigences par de nouvelles exigences de « transparence ». En effet, Google propose l'ajout d'une nouvelle section intitulée «Transparence des mises à jour de sécurité/OS" Les nouvelles exigences détaillent la manière dont les fournisseurs seront tenus de publier des informations telles que la date de fin de vie des versions de maintenance de sécurité, le dernier correctif de sécurité. disponibles, la fréquence à laquelle l'appareil recevra des mises à jour, les correctifs contenus dans chaque mise à jour, l'expédition et les mises à jour logicielles planifiées de l'appareil, et bien plus encore. Il est intéressant de noter que Google exige également que les appareils Android 11 subissent des tests de certification par le Alliance ioXt avant de pouvoir devenir Android Enterprise Recommendation. L'ioXt Alliance est une alliance d'entreprises dont l'objectif est d'améliorer la sécurité des produits IoT. Ses membres incluent Amazon, Facebook, Google, NXP, etc. Google affirme que cette certification ajoutera à la transparence, probablement dans la mesure où elle donnera aux entreprises une mesure indépendante du degré de sécurité d'un appareil particulier plutôt que celle de Google assurance.

Exigences de transparence des mises à jour de sécurité/système d'exploitation (nouvelles) pour Android Enterprise recommandées

Catégorie

Numéro de série

DOIT / PEUT

Attribut et mise en œuvre

commentaires

Q (Android 10)

R (Android 11)

Transparence des mises à jour de sécurité/OS

1

DOIT

DOIT publier les informations de mise à jour suivantes sur le site Web OEM - Date de fin du support SMR (dernière date à laquelle l'appareil recevra SMR) - Dernière correctif de sécurité disponible - Fréquence des mises à jour que l'appareil recevra - Correctifs contenus dans le correctif de sécurité, y compris tout correctif spécifique à l'OEM correctifs

Modification de l'exigence de la prise en charge SMR par la transparence SMR/correctifs/mises à jour

2

DOIT

DOIT publier les informations suivantes sur le système d'exploitation sur le site Web OEM: système d'exploitation avec lequel l'appareil est livré - version majeure actuelle du système d'exploitation - toutes les mises à jour majeures de la version du système d'exploitation que l'appareil recevra

Modification de l'exigence de prise en charge en transparence, par exemple: Pixel 3 - Version expédiée - Android 9 - Version actuelle - Android 10 - Version majeure attendue - Android 11

3

DOIT

Soumettre l'appareil à la certification IoXT

La notation IoXT ajoute à la transparence

En savoir plus

Ce n’est un secret pour personne que les fournisseurs ont du mal à suivre le déploiement des mises à jour mensuelles des correctifs de sécurité. Il existe de très nombreuses raisons à cela: les retards de certification de l'opérateur, l'attente des correctifs du chipset et d'autres fournisseurs, la difficulté d'appliquer des correctifs à des versions de framework Android fortement modifiées et à des noyaux Linux hors arborescence, et plus. Certains utilisateurs d'Android ont même remarqué que certains fournisseurs ne répond pas aux exigences de l'ARE. Même si les efforts de développement et les accords de licence de Google ont contribué à améliorer Avec la rapidité avec laquelle les mises à jour de sécurité sont déployées sur de nombreux appareils, elles n'ont clairement pas été en mesure de répondre aux exigences actuelles en matière de correctifs de sécurité pour le programme Android Enterprise Recommendation. L'assouplissement de ces exigences en faveur d'une plus grande transparence contribuera à la fois à rendre le programme plus accessible. aux fournisseurs et donne également aux entreprises plus de confiance dans l'appareil particulier qu'elles choisissent pour leur ouvriers.

L’assouplissement proposé des mises à jour des correctifs de sécurité n’est bien sûr pas le seul changement qui pourrait être apporté au programme Android Enterprise Recommendation pour Android 11. Google prévoit également d'augmenter la configuration matérielle minimale requise de 2 Go de RAM à 3 Go de RAM, de renforcer les exigences de formation et de mettre en œuvre un nouvel ensemble d'exigences pour le profil professionnel UX. La plupart de ces changements n’auront cependant pas d’impact sur les travailleurs du savoir. Android dans l'entreprise s'est beaucoup développé depuis ses débuts. Si vous souhaitez en savoir plus sur son histoire, je vous recommande de lire cet excellent article de Jason Bayton.