मासिक एंड्रॉइड सुरक्षा पैच अपडेट कैसे काम करते हैं

एक्सडीए विश्लेषणNov 10, 2023
click fraud protection

क्या आपने कभी सोचा है कि मासिक एंड्रॉइड सुरक्षा पैच अपडेट कैसे काम करते हैं? अब और आश्चर्य करने की जरूरत नहीं है, क्योंकि हमारे पास आपके लिए पूरी प्रक्रिया को समझने के लिए सिर्फ प्राइमर है।

Google अगस्त 2015 से मासिक सुरक्षा बुलेटिन प्रकाशित कर रहा है। इन सुरक्षा बुलेटिनों में प्रकट सुरक्षा कमजोरियों की एक सूची शामिल है जिन्हें ठीक कर दिया गया है जो एंड्रॉइड फ्रेमवर्क, लिनक्स कर्नेल और अन्य बंद-स्रोत विक्रेता घटकों को प्रभावित करते हैं। बुलेटिन में प्रत्येक भेद्यता या तो Google द्वारा खोजी गई थी कंपनी को बताया गया. सूचीबद्ध प्रत्येक भेद्यता में संबंधित के साथ एक सामान्य भेद्यता और एक्सपोजर (सीवीई) संख्या होती है संदर्भ, भेद्यता का प्रकार, गंभीरता का आकलन और प्रभावित AOSP संस्करण (यदि लागू) लेकिन एंड्रॉइड सुरक्षा पैच कैसे काम करते हैं इसके पीछे प्रतीत होने वाली सरल प्रक्रिया के बावजूद, वास्तव में कुछ हद तक है पर्दे के पीछे जटिल आगे-पीछे जो आपके फ़ोन को मासिक या (उम्मीद है) लगभग-मासिक होने की अनुमति देता है पैच.

वास्तव में सुरक्षा पैच क्या बनता है?

आपने देखा होगा कि वास्तव में हर महीने होते हैं 

दो सुरक्षा पैच स्तर. इन पैच का प्रारूप या तो YYYY-MM-01 या YYYY-MM-05 है। जबकि YYYY और MM स्पष्ट रूप से क्रमशः वर्ष और महीने का प्रतिनिधित्व करते हैं, "01" और "05" वास्तव में उस महीने के दिन को नहीं दर्शाते हैं जिसमें सुरक्षा पैच स्तर जारी किया गया था। इसके बजाय, 01 और 05 वास्तव में हर महीने एक ही दिन जारी किए गए दो अलग-अलग सुरक्षा पैच स्तर हैं - अंत में 01 वाले पैच स्तर में एंड्रॉइड फ्रेमवर्क के लिए फिक्स शामिल हैं लेकिन नहीं विक्रेता पैच या अपस्ट्रीम लिनक्स कर्नेल पैच। विक्रेता पैच, जैसा कि हमने ऊपर परिभाषित किया है, वाई-फाई और ब्लूटूथ के लिए ड्राइवर जैसे बंद-स्रोत घटकों के सुधार को संदर्भित करता है। -05 द्वारा दर्शाए गए सुरक्षा पैच स्तर में इन विक्रेता पैच के साथ-साथ लिनक्स कर्नेल में पैच भी शामिल हैं। नीचे दी गई तालिका पर एक नज़र डालें जिससे समझने में मदद मिल सकती है।

मासिक सुरक्षा पैच स्तर

2019-04-01

2019-04-05

अप्रैल फ्रेमवर्क पैच शामिल हैं

हाँ

हाँ

अप्रैल विक्रेता + कर्नेल पैच शामिल हैं

नहीं

हाँ

मार्च फ्रेमवर्क पैच शामिल हैं

हाँ

हाँ

मार्च विक्रेता + कर्नेल पैच शामिल हैं

हाँ

हाँ

बेशक, कुछ ओईएम अपने स्वयं के पैच और अपडेट को सुरक्षा अपडेट में भी शामिल करने का विकल्प चुन सकते हैं। अधिकांश ओईएम का एंड्रॉइड पर अपना दृष्टिकोण है, इसलिए यह केवल समझ में आता है कि आपके पास, उदाहरण के लिए, सैमसंग फोन पर एक भेद्यता हो सकती है जो हुआवेई पर मौजूद नहीं है। इनमें से बहुत से ओईएम अपने स्वयं के सुरक्षा बुलेटिन भी प्रकाशित करते हैं।

  • गूगल पिक्सेल
  • हुवाई
  • एलजी
  • MOTOROLA
  • एचएमडी ग्लोबल
  • SAMSUNG

Google से आपके फ़ोन पर सुरक्षा पैच की समयरेखा

सुरक्षा पैच की समय-सीमा लगभग 30 दिनों की होती है, हालाँकि प्रत्येक OEM उस समय-सीमा की पूरी अवधि का लाभ नहीं उठा सकता है। आइये एक नजर डालते हैं मई 2019 सुरक्षा पैच उदाहरण के लिए, और हम इस पैच के निर्माण के पीछे की पूरी समयरेखा को तोड़ सकते हैं। कंपनियों को पसंद है आवश्यक उनके सुरक्षा अद्यतन प्राप्त करने का प्रबंधन करें उसी दिन Google Pixel के रूप में, तो वे इसे कैसे करते हैं? संक्षिप्त और सरल उत्तर यह है कि वे एक हैं एंड्रॉइड पार्टनर. मई 2019 सुरक्षा बुलेटिन 6 मई को प्रकाशित हुआ था, Google Pixels और एसेंशियल फ़ोन दोनों को लगभग तत्काल अपडेट मिल रहा है।

Android भागीदार होने का क्या अर्थ है

सिर्फ कोई भी कंपनी एंड्रॉइड पार्टनर नहीं हो सकती है, हालांकि माना जाता है कि मूल रूप से हर प्रमुख एंड्रॉइड ओईएम है। एंड्रॉइड पार्टनर्स वे कंपनियां हैं जिन्हें मार्केटिंग सामग्री में एंड्रॉइड ब्रांडिंग का उपयोग करने का लाइसेंस दिया जाता है। उन्हें Google मोबाइल सेवाएँ (GMS - लगभग सभी Google सेवाओं को संदर्भित करता है) शिप करने की भी अनुमति है, जब तक कि वे इसमें उल्लिखित आवश्यकताओं को पूरा करते हैं। संगतता परिभाषा दस्तावेज़ (सीडीडी) और संगतता परीक्षण सूट (सीटीएस), विक्रेता परीक्षण सूट (वीटीएस), Google टेस्ट सूट (जीटीएस), और कुछ अन्य परीक्षण पास करें। उन कंपनियों के लिए सुरक्षा पैच प्रक्रिया में अलग-अलग अंतर हैं नहीं कर रहे हैं एक Android भागीदार.

  • सुरक्षा बुलेटिन जारी होने से 1-2 दिन पहले एओएसपी में विलय होने के बाद एंड्रॉइड फ्रेमवर्क पैच उनके लिए उपलब्ध होते हैं।
  • अपस्ट्रीम लिनक्स कर्नेल पैच उपलब्ध होने पर चेरी-पिक किया जा सकता है।
  • बंद-स्रोत घटकों के लिए SoC विक्रेताओं से समाधान SoC विक्रेता के साथ समझौते के आधार पर उपलब्ध हैं। ध्यान दें कि यदि विक्रेता ने ओईएम को बंद-स्रोत घटक के स्रोत कोड तक पहुंच प्रदान की है, तो ओईएम स्वयं समस्या को ठीक कर सकता है। यदि ओईएम के पास स्रोत कोड तक पहुंच नहीं है, तो उन्हें विक्रेता द्वारा समाधान जारी करने की प्रतीक्षा करनी होगी।

यदि आप एक Android भागीदार हैं, तो आपके लिए यह तुरंत बहुत आसान हो जाएगा। बुलेटिन सार्वजनिक होने से कम से कम 30 दिन पहले एंड्रॉइड भागीदारों को सभी एंड्रॉइड फ्रेमवर्क मुद्दों और लिनक्स कर्नेल मुद्दों के बारे में सूचित किया जाता है। Google OEM के विलय और परीक्षण के लिए सभी मुद्दों के लिए पैच प्रदान करता है, हालांकि विक्रेता घटक पैच विक्रेता पर निर्भर होते हैं। उदाहरण के लिए, मई 2019 के सुरक्षा बुलेटिन में बताए गए एंड्रॉइड फ्रेमवर्क मुद्दों के लिए पैच, एंड्रॉइड भागीदारों को कम से कम 20 मार्च, 2019* की शुरुआत में प्रदान किए गए थे। यह एक है बहुत अतिरिक्त समय का.

*ध्यान दें: Google सार्वजनिक रिलीज़ होने तक नवीनतम सुरक्षा बुलेटिन के लिए पैच अपडेट कर सकता है और अक्सर करता है। यदि नई कमजोरियाँ और बग पाए गए हों तो ये अपडेट हो सकते हैं, यदि Google मासिक बुलेटिन से कुछ पैच हटाने का निर्णय लेता है इसके कारण महत्वपूर्ण घटकों को तोड़ना, यदि Google पैच के पिछले संस्करण द्वारा बनाए गए बग को हल करने के लिए पैच को अपडेट करता है, और अन्य कारण.

मुझे अपने फ़ोन पर सुरक्षा पैच प्राप्त करने के लिए इतने लंबे समय तक प्रतीक्षा करने की आवश्यकता क्यों है?

हालांकि यह सच है कि एंड्रॉइड पार्टनर्स (पढ़ें: सभी प्रमुख ओईएम) को उनके पहले ही सुरक्षा पैच प्राप्त हो गए थे रिलीज़ होने के बाद, कई लोगों को पीड़ा होती है कि संभवतः इसके बाद उन्हें कई महीनों तक सुरक्षा अद्यतन प्राप्त नहीं होगा मुक्त करना। यह आम तौर पर चार कारणों में से एक है।

  • सुरक्षा पैच को समायोजित करने के लिए OEM को भारी तकनीकी परिवर्तन करने की आवश्यकता हो सकती है, क्योंकि यह मौजूदा कोड के साथ विरोध कर सकता है।
  • विक्रेता बंद-स्रोत घटकों के लिए अद्यतन स्रोत-कोड प्रदान करने में धीमा है।
  • कैरियर प्रमाणन में समय लग सकता है.
  • कंपनियाँ एक ही समय में कोई सुविधा जारी किए बिना सुरक्षा अद्यतन जारी करने के लिए तैयार नहीं हो सकती हैं।

हालाँकि ये सभी किसी व्यवसाय के लिए सुरक्षा पैच जारी न करने के वैध कारण हैं, लेकिन अंतिम उपयोगकर्ता को इनमें से किसी की भी हमेशा परवाह नहीं होती है। माना जाता है कि, अंतिम-उपयोगकर्ता को हमेशा सुरक्षा पैच की परवाह नहीं होती है, हालांकि उन्हें इसकी परवाह करनी चाहिए। प्रोजेक्ट ट्रेबल जैसी पहल, विस्तारित लिनक्स एलटीएस, और प्रोजेक्ट मेनलाइन इन सुरक्षा पैच को मर्ज करने की तकनीकी कठिनाइयों को खत्म करने में मदद मिल रही है, लेकिन ओईएम को अपडेट जारी करने के लिए लगातार प्रयास करना पर्याप्त नहीं है। जेनेरिक कर्नेल इमेज या जीकेआई के साथ, एसओसी विक्रेताओं और ओईएम के लिए अपस्ट्रीम लिनक्स कर्नेल पैच को मर्ज करना आसान होगा, हालांकि हम अगले साल तक जीकेआई के साथ पहले डिवाइस नहीं देख पाएंगे।

लेकिन एक दिलचस्प जानकारी जो अधिकांश लोग नहीं जानते वह प्रमुख ओईएम है अवश्य डिवाइस के लॉन्च के एक साल के भीतर "कम से कम चार सुरक्षा अपडेट" और कुल मिलाकर 2 साल के अपडेट प्रदान करें। Google ने इन विशिष्ट शर्तों की पुष्टि नहीं की है, लेकिन कंपनी ने पुष्टि की है कि उन्होंने "[उनके] OEM समझौतों में सुरक्षा पैचिंग बनाने पर काम किया है"। एंड्रॉइड एंटरप्राइज़ अनुशंसित (एईआर) उपकरणों के लिए, उपकरणों को रिलीज़ के 90 दिनों के भीतर 3 वर्षों तक सुरक्षा अपडेट प्राप्त करना आवश्यक है। मजबूत एईआर डिवाइस प्राप्त करने की आवश्यकता है 5 साल सुरक्षा अद्यतन की. एंड्रॉइड वन डिवाइसों को 3 साल तक हर महीने सुरक्षा अपडेट मिलना चाहिए।

सुरक्षा पैच में क्या है?

एक सुरक्षा पैच सिर्फ एक और अद्यतन है, हालांकि आम तौर पर सिस्टम-व्यापी सुधार या परिवर्तनों के बजाय व्यक्तिगत ढांचे और सिस्टम मॉड्यूल में बदलाव के साथ यह बहुत छोटा होता है। हर महीने, Google डिवाइस ओईएम को एक ज़िप फ़ाइल प्रदान करता है जिसमें सुरक्षा परीक्षण सूट के साथ वर्तमान में समर्थित सभी प्रमुख एंड्रॉइड संस्करणों के लिए पैच शामिल होते हैं। यह परीक्षण सूट ओईएम को सुरक्षा पैच में कमियों को पकड़ने में मदद करता है, यह सुनिश्चित करने के लिए कि वे कुछ भी न चूकें और यह कि पैच उचित रूप से मर्ज किए गए थे। जैसे-जैसे महीना आगे बढ़ेगा, Google छोटे-मोटे संशोधन कर सकता है जैसे कि यह निर्णय लेना कि एक विशिष्ट पैच वैकल्पिक है, खासकर यदि इसे लागू करने में कोई परेशानी हो।

कस्टम रोम के बारे में क्या?

यदि आपके स्मार्टफ़ोन को कई सुरक्षा अपडेट नहीं मिलते हैं, तो इसका मतलब यह नहीं है कि आपके लिए कस्टम ROM पर स्विच करना बेहतर है। हालाँकि यह सच है कि आपको सुरक्षा अद्यतन मिलेंगे जो आपको अन्यथा नहीं मिलते, यह कहानी का केवल आधा हिस्सा है। अपने बूटलोडर को अनलॉक करने से आप अपने डिवाइस पर शारीरिक हमलों के प्रति संवेदनशील हो जाते हैं, भले ही सॉफ़्टवेयर पक्ष पर सुरक्षा कड़ी कर दी गई हो। इसका मतलब यह नहीं है कि आपको कस्टम रोम का उपयोग नहीं करना चाहिए, यह सिर्फ इतना है कि जब उनका उपयोग करने की बात आती है तो अन्य चिंताएं होती हैं जो आपके बूटलोडर को लॉक रखे जाने पर लागू नहीं होती हैं। यदि आप चीज़ों के सॉफ़्टवेयर पक्ष के बारे में अधिक चिंतित हैं, तो आपके लिए कस्टम ROM अभी भी बेहतर है, जिसे बार-बार सुरक्षा पैच मिलते रहते हैं।

लेकिन याद रखें कि हमने YYYY-MM-01 और YYYY-MM-05 पैच के बीच अंतर के बारे में बात की थी? -05 पैच स्तर में लिनक्स कर्नेल पैच के साथ-साथ विक्रेता पैच भी शामिल हैं - बंद-स्रोत सॉफ़्टवेयर पर लागू पैच। इसका मतलब यह है कि कस्टम ROM डेवलपर्स उस OEM की दया पर निर्भर हैं जिसके लिए वे विकास कर रहे हैं, और क्या OEM अपडेटेड ब्लॉब्स जारी करता है या नहीं। यह उन डिवाइसों के लिए ठीक है जो अभी भी निर्माता द्वारा अपडेट किए गए हैं, लेकिन उन डिवाइसों के लिए जो अपडेट नहीं किए गए हैं, लागू किए गए पैच केवल एंड्रॉइड फ्रेमवर्क और लिनक्स कर्नेल पर ही लागू किए जा सकते हैं। यही कारण है कि LineageOS' ट्रस्ट इंटरफ़ेस दो सुरक्षा पैच स्तर दिखाता है - एक प्लेटफ़ॉर्म, दूसरा विक्रेता। भले ही असमर्थित उपकरणों के लिए कस्टम रोम सभी नवीनतम पैच को पूरी तरह से एकीकृत नहीं कर सकते हैं, वे पुराने, अप्रचलित रोम की तुलना में अधिक सुरक्षित होंगे।