Google संभवतः तेज़ सुरक्षा अपडेट के लिए Android सुरक्षा पैच स्तरों को विभाजित कर रहा है

अपने प्रारंभिक इतिहास में लंबे समय तक, अनुप्रयोगों के प्रति ऐप्पल के "दीवारों वाले बगीचे" दृष्टिकोण के कारण एंड्रॉइड को iOS की तुलना में कम सुरक्षित होने की प्रतिष्ठा प्राप्त थी। वह पिछली प्रतिष्ठा योग्य है या नहीं, इस पर हम विचार नहीं कर रहे हैं, लेकिन यह स्पष्ट है कि Google ने एंड्रॉइड को कमजोरियों से सुरक्षित करने में काफी प्रगति की है। कंपनी न सिर्फ एंड्रॉइड के लेटेस्ट वर्जन में नए सिक्योरिटी फीचर्स उपलब्ध करा रही है। एंड्रॉइड पी, लेकिन वे यह भी प्रदान कर रहे हैं "एंटरप्राइज़-ग्रेड सुरक्षा"उनके नवीनतम उपकरणों में Google Pixel 2/2 XL में हार्डवेयर सुरक्षा मॉड्यूल का धन्यवाद। किसी डिवाइस को सुरक्षित रखने के लिए सभी नवीनतम खतरों को दूर करने के लिए निरंतर अपडेट की भी आवश्यकता होती है, यही कारण है कि Google ने ऐसा किया है 

मासिक सुरक्षा बुलेटिन सभी डिवाइस निर्माताओं और विक्रेताओं के लिए सभी ज्ञात सक्रिय और संभावित कमजोरियों के खिलाफ पैच शामिल करना। अब, ऐसा प्रतीत होता है कि कंपनी एक तरीका प्रदान करके एंड्रॉइड सिक्योरिटी पैच सिस्टम में बदलाव कर सकती है एंड्रॉइड फ्रेमवर्क पैच स्तर और विक्रेता पैच स्तर के बीच अंतर करें बूटलोडर, कर्नेल आदि के साथ। या तो सुरक्षा पैच स्तरों को विभाजित करें ताकि ओईएम शुद्ध फ्रेमवर्क अपडेट प्रदान कर सकें या उपयोगकर्ता को बेहतर ढंग से पहचान सकें कि वे किस पैच स्तर पर चल रहे हैं।

---

मासिक एंड्रॉइड सुरक्षा पैच - एक प्राइमर

हम सभी जानते हैं कि सुरक्षा पैच महत्वपूर्ण हैं, खासकर पिछले साल की दूसरी छमाही में हाई-प्रोफाइल कमजोरियों की एक श्रृंखला सार्वजनिक होने के बाद। ब्लूबॉर्न भेद्यता ब्लूटूथ प्रोटोकॉल पर हमला किया गया और इसमें पैच किया गया सितंबर 2017 मासिक पैच, क्रैक वाई-फ़ाई WPA2 में एक कमज़ोरी को लक्षित किया गया और उसे ठीक कर दिया गया दिसंबर 2017, और स्पेक्टर/मेल्टडाउन कमजोरियों को ज्यादातर इसके साथ ठीक किया गया था जनवरी 2018 पैच. इस तरह की कमजोरियों को ठीक करने के लिए आमतौर पर हार्डवेयर विक्रेता (जैसे ब्रॉडकॉम) के साथ सहयोग की आवश्यकता होती है और क्वालकॉम) क्योंकि भेद्यता हार्डवेयर घटक जैसे वाई-फाई या ब्लूटूथ चिप या से संबंधित है CPU। दूसरी ओर, एंड्रॉइड ऑपरेटिंग सिस्टम में इस तरह की समस्याएं हैं टोस्ट संदेश ओवरले हमला जिसे ठीक करने के लिए केवल एंड्रॉइड फ्रेमवर्क में अपडेट की आवश्यकता है।

जब भी Google मासिक सुरक्षा पैच जारी करता है, तो डिवाइस निर्माताओं को सभी कमजोरियों को ठीक करना आवश्यक होता है यदि वे यह कहना चाहते हैं कि उनका उपकरण उस मासिक पैच तक सुरक्षित है, तो उस महीने के सुरक्षा बुलेटिन में उल्लिखित है स्तर। हर महीने, दो सुरक्षा पैच स्तर होते हैं जिन्हें एक उपकरण पूरा कर सकता है: महीने की पहली तारीख या महीने की 5 तारीख को पैच स्तर। यदि कोई उपकरण कहता है कि वह महीने की पहली तारीख से पैच स्तर पर चल रहा है (उदाहरण के लिए)। 5 अप्रैल के बजाय 1 अप्रैल) तो इसका मतलब है कि बिल्ड में पिछले महीने की रिलीज़ से सभी फ्रेमवर्क और विक्रेता पैच और नवीनतम सुरक्षा बुलेटिन से सभी फ्रेमवर्क पैच शामिल हैं। दूसरी ओर, यदि कोई उपकरण कहता है कि वह महीने की 5 तारीख (5 अप्रैल) से पैच स्तर पर चल रहा है उदाहरण), तो इसका मतलब है कि इसमें पिछले महीने और इस महीने के सभी फ्रेमवर्क और विक्रेता पैच शामिल हैं बुलेटिन. यहां एक तालिका है जो मासिक पैच स्तरों के बीच बुनियादी अंतर का उदाहरण देती है:

आप शायद इस बात से परिचित हैं कि एंड्रॉइड इकोसिस्टम में सुरक्षा पैच की स्थिति कितनी निराशाजनक है। नीचे दिए गए चार्ट से पता चलता है कि Google और एसेंशियल सबसे तेज़ मासिक सुरक्षा पैच अपडेट प्रदान करते हैं जबकि अन्य कंपनियां पीछे रह जाती हैं। किसी डिवाइस में नवीनतम पैच लाने में ओईएम को कई महीने लग सकते हैं, जैसे कि कैसे वनप्लस 5 और वनप्लस 5टी हाल ही में प्राप्त हुआ अप्रैल सुरक्षा पैच जब वे पहले दिसंबर के पैच पर थे।

फरवरी 2018 तक Android सुरक्षा पैच स्थिति। स्रोत: @SecX13

एंड्रॉइड सुरक्षा पैच अपडेट प्रदान करने में समस्या यह नहीं है कि OEM आलसी हैं, क्योंकि कभी-कभी यह उनके नियंत्रण से बाहर हो सकता है। जैसा कि हमने पहले बताया, मासिक सुरक्षा पैच अपडेट के लिए अक्सर हार्डवेयर के सहयोग की आवश्यकता होती है विक्रेता, यदि विक्रेता मासिक सुरक्षा पैच बनाए रखने में असमर्थ है तो देरी हो सकती है बुलेटिन. इससे निपटने के लिए, ऐसा प्रतीत होता है कि Google एंड्रॉइड फ्रेमवर्क सुरक्षा पैच स्तर को विक्रेता पैच स्तर से अलग करना शुरू कर सकता है (और संभवतः बूटलोडर और कर्नेल स्तर) ताकि भविष्य में, OEM पूरी तरह से एंड्रॉइड फ्रेमवर्क सुरक्षा प्रदान करने में सक्षम हो सकें अद्यतन.

---

फ़्रेमवर्क कमजोरियों के लिए तेज़ एंड्रॉइड सुरक्षा पैच अपडेट?

एक नया प्रतिबद्ध एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) गेरिट में दिखाई दिया है जो "विक्रेता सुरक्षा पैच" पर संकेत देता है प्रोप" जिसे किसी डिवाइस के लिए नया निर्माण होने पर Android.mk फ़ाइलों में परिभाषित किया जाएगा बनाया था। इस संपत्ति को "कहा जाएगा"ro.vendor.build.security_patch"और" के अनुरूप होगाro.build.version.security_patch" जो वर्तमान में मासिक एंड्रॉइड सुरक्षा पैच स्तर निर्दिष्ट करने के लिए सभी एंड्रॉइड डिवाइसों पर मौजूद है।

इसके बजाय यह नई संपत्ति हमें बताएगी "VENDOR_SECURITY_PATCH"डिवाइस का स्तर, जो एंड्रॉइड फ्रेमवर्क सुरक्षा पैच स्तर से मेल खा भी सकता है और नहीं भी। उदाहरण के लिए, एक डिवाइस फरवरी 2018 विक्रेता पैच के साथ नवीनतम अप्रैल 2018 फ्रेमवर्क पैच पर चल सकता है। दो सुरक्षा पैच स्तरों के बीच अंतर करके, यह संभव है कि Google OEM को शिप करने देना चाहता है नवीनतम एंड्रॉइड ओएस सुरक्षा पैच भले ही विक्रेताओं ने उस मासिक पैच के लिए अद्यतन पैच प्रदान नहीं किए हैं स्तर।

वैकल्पिक, गूगल केवल न्यूनतम प्रदर्शित कर सकता है उपयोगकर्ता को अधिक सटीक रूप से दिखाने के लिए कि उनका डिवाइस किस सुरक्षा पैच पर है, दो पैच स्तरों (संभवतः बूटलोडर और कर्नेल पैच स्तरों के साथ) का उपयोग करें। हमें अभी तक इस पैच के पीछे के इरादे की पुष्टि नहीं हुई है, लेकिन हमें उम्मीद है कि जल्द ही और अधिक पता चलेगा।

कम से कम, यह हममें से उन लोगों के लिए मददगार होगा प्रोजेक्ट ट्रेबलसामान्य सिस्टम छवियाँ (जीएसआई) और अन्य एओएसपी-आधारित कस्टम रोम, क्योंकि अक्सर कस्टम रोम सभी विक्रेताओं को पैच किए बिना केवल फ्रेमवर्क अपडेट प्रदान करते हैं, बूटलोडर, और कर्नेल पैच जो मासिक सुरक्षा बुलेटिन में निर्दिष्ट होते हैं, इसलिए बेमेल उपयोगकर्ताओं के बीच भ्रम पैदा करता है क्योंकि वे सोचते हैं कि वे नवीनतम पैच चला रहे हैं जबकि वास्तव में उनका डिवाइस नवीनतम मासिक सुरक्षा के विरुद्ध केवल आंशिक रूप से पैच किया गया है बुलेटिन.