Menurut komitmen terbaru yang kami temukan di Proyek Sumber Terbuka Android, Google sedang mempersiapkannya untuk membedakan antara tingkat patch keamanan vendor dan patch keamanan Android Framework tingkat. Hal ini memungkinkan OEM terus memperbarui Android sambil menunggu vendor perangkat keras memberikan perbaikan.
Untuk waktu yang lama di awal sejarahnya, Android memiliki reputasi kurang aman dibandingkan iOS karena pendekatan "taman bertembok" Apple terhadap aplikasi. Apakah reputasi masa lalu itu pantas atau tidak bukanlah sesuatu yang akan kita selami, namun jelas bahwa Google telah membuat langkah besar dalam mengamankan Android dari kerentanan. Perusahaan tidak hanya menyediakan fitur keamanan baru di Android versi terbaru, Android P, tetapi mereka juga menyediakan "keamanan tingkat perusahaan" di perangkat terbaru mereka berkat modul keamanan perangkat keras di Google Pixel 2/2 XL. Menjaga keamanan perangkat juga memerlukan pembaruan berkelanjutan untuk menambal semua ancaman terbaru, itulah sebabnya Google melakukannya
buletin keamanan bulanan bagi semua pembuat dan vendor perangkat untuk melakukan perbaikan terhadap semua kerentanan aktif dan potensial yang diketahui. Kini, tampaknya perusahaan tersebut mungkin melakukan perubahan pada sistem Patch Keamanan Android dengan memberikan cara untuk melakukannya membedakan antara tingkat patch kerangka Android dan tingkat patch vendor bersama dengan bootloader, kernel, dll. untuk membagi tingkat patch keamanan sehingga OEM dapat memberikan pembaruan kerangka kerja murni atau mengidentifikasi dengan lebih baik kepada pengguna tingkat patch apa yang mereka jalankan.Patch Keamanan Android Bulanan - Hal Penting
Kita semua tahu bahwa patch keamanan itu penting, terutama setelah serangkaian kerentanan tingkat tinggi diumumkan pada paruh kedua tahun lalu. Itu Kerentanan BlueBorne menyerang protokol Bluetooth dan ditambal di Patch bulanan September 2017, KRACK menargetkan kelemahan pada Wi-Fi WPA2 dan telah ditambal Desember 2017, dan kerentanan Spectre/Meltdown sebagian besar telah diperbaiki dengan Patch Januari 2018. Menambal kerentanan seperti ini biasanya memerlukan kerja sama dengan vendor perangkat keras (seperti Broadcom dan Qualcomm) karena kerentanannya menyangkut komponen perangkat keras seperti chip Wi-Fi atau Bluetooth atau CPU. Di sisi lain, terdapat permasalahan pada sistem operasi Android seperti ini serangan hamparan pesan roti panggang yang hanya memerlukan pembaruan pada Kerangka Android untuk memperbaikinya.
Setiap kali Google meluncurkan patch keamanan bulanan, pembuat perangkat diharuskan memperbaiki SEMUA kerentanan diuraikan dalam buletin keamanan bulan itu jika mereka ingin mengatakan bahwa perangkat mereka aman hingga patch bulanan tersebut tingkat. Setiap bulan, ada dua tingkat patch keamanan yang dapat dipenuhi perangkat: tingkat patch pada tanggal 1 setiap bulan atau tanggal 5 setiap bulan. Jika perangkat menyatakan sedang menjalankan level patch mulai tanggal 1 setiap bulannya (mis. 1 April, bukan 5 April) maka itu berarti build berisi semua patch kerangka kerja DAN vendor dari rilis bulan lalu ditambah semua patch kerangka kerja dari buletin keamanan terbaru. Di sisi lain, jika perangkat menyatakan sedang menjalankan level patch mulai tanggal 5 setiap bulannya (5 April, untuk Misalnya), berarti berisi semua framework dan patch vendor dari bulan lalu dan bulan ini buletin. Berikut tabel yang menunjukkan perbedaan mendasar antara level patch bulanan:
Tingkat Patch Keamanan Bulanan |
1 April |
5 April |
|---|---|---|
Berisi Patch Kerangka April |
Ya |
Ya |
Berisi Patch Vendor April |
TIDAK |
Ya |
Berisi Patch Kerangka Maret |
Ya |
Ya |
Berisi Patch Vendor Maret |
Ya |
Ya |
Anda mungkin sudah familiar dengan betapa suramnya situasi patch keamanan di ekosistem Android. Bagan di bawah menunjukkan bahwa Google dan Essential memberikan pembaruan patch keamanan bulanan tercepat sementara perusahaan lain tertinggal. Diperlukan waktu berbulan-bulan bagi OEM untuk menghadirkan patch terbaru ke perangkat, seperti bagaimana caranya OnePlus 5 dan OnePlus 5T baru-baru ini menerima Patch keamanan bulan April ketika mereka sebelumnya berada di patch bulan Desember.
Status Patch Keamanan Android per Februari 2018. Sumber: @DetikX13
Masalah dalam menyediakan pembaruan Patch Keamanan Android bukan berarti OEM malas, karena terkadang hal ini berada di luar kendali mereka. Seperti yang kami sebutkan sebelumnya, pembaruan patch keamanan bulanan sering kali memerlukan kerja sama perangkat keras vendor, yang dapat menyebabkan penundaan jika vendor tidak dapat mengikuti patch keamanan bulanan buletin. Untuk mengatasi hal ini, tampaknya Google mungkin mulai memisahkan tingkat patch keamanan Android Framework dari tingkat patch vendor (dan mungkin tingkat bootloader dan kernel) sehingga di masa depan, OEM dapat memberikan keamanan kerangka kerja Android murni pembaruan.
Pembaruan Patch Keamanan Android yang lebih cepat untuk Kerentanan Kerangka Kerja?
Yang baru melakukan telah muncul di gerrit Proyek Sumber Terbuka Android (AOSP) yang mengisyaratkan "patch keamanan vendor prop" yang akan didefinisikan dalam file Android.mk setiap kali ada build baru untuk suatu perangkat dibuat. Properti ini akan disebut "ro.vendor.build.security_patch" dan akan dianalogikan dengan "ro.build.version.security_patch" yang saat ini ada di semua perangkat Android untuk menentukan level Patch Keamanan Android bulanan.
Properti baru ini akan memberi tahu kita "VENDOR_SECURITY_PATCH" tingkat perangkat, yang mungkin cocok atau tidak cocok dengan tingkat patch keamanan Android Framework. Misalnya, perangkat mungkin berjalan pada patch kerangka kerja terbaru bulan April 2018 bersama dengan patch vendor bulan Februari 2018. Dengan membedakan kedua tingkat patch keamanan tersebut, ada kemungkinan Google bermaksud membiarkan OEM mengirimkannya patch keamanan OS Android terbaru meskipun vendor belum menyediakan patch update untuk patch bulanan tersebut tingkat.
kalau tidak, Google mungkin hanya menampilkan minimum dari dua level patch (bersamaan dengan level patch bootloader dan kernel) agar dapat menunjukkan kepada pengguna patch keamanan apa yang digunakan pada perangkat mereka dengan lebih akurat. Kami belum mendapatkan konfirmasi mengenai maksud di balik patch ini, namun kami berharap dapat mengetahui lebih lanjut dalam waktu dekat.
Setidaknya ini akan bermanfaat bagi kita semua Proyek Tiga Kali LipatGambar Sistem Generik (GSI) dan ROM kustom berbasis AOSP lainnya karena seringkali ROM kustom hanya menyediakan pembaruan kerangka kerja tanpa melakukan patching ke seluruh vendor, bootloader, dan patch kernel yang ditentukan dalam buletin keamanan bulanan, sehingga ketidakcocokan menyebabkan kebingungan di antara pengguna mengira mereka menjalankan patch terbaru padahal kenyataannya perangkat mereka hanya di-patch sebagian terhadap keamanan bulanan terbaru buletin.