בלעדי: גוגל מתכננת להרגיע את עדכוני האבטחה עבור Android Enterprise Recommended

התוכנית Android Enterprise Recommended עשויה לראות דרישות עדכוני אבטחה רגועות, על פי מסמך דלף שנבדק על ידי XDA.

בעוד אנדרואיד היא מערכת ההפעלה הדומיננטית הכוללת של סמארטפונים לפי נתונים מ הבינתחומי, iOS של אפל היא מערכת ההפעלה המועדפת עבור רוב הארגונים. קל להבין מדוע: אפל מעדכנת את מכשירי ה-iOS שלה בדרך כלל זמן רב יותר ובאופן עקבי יותר מאשר רוב יצרניות מכשירי האנדרואיד לעדכן את הסמארטפונים שלהם, מכשירי iPhone הם פשוטים להגדרה ולניהול, ויש הרבה פחות מק"טים לתמיכה אם חברה בוחרת תפוח עץ. אבל יש גם סיבות לארגונים לבחור מכשיר אנדרואיד, כולל עלות מופחתת וגמישות רבה יותר בחומרה. כדי להפוך את אנדרואיד למפתה עוד יותר עבור מקום העבודה, גוגל השיקה את "Android for Work" בתחילת 2015 (מאוחר יותר מותג מחדש כ"Android Enterprise" בסוף 2016). ואז בתחילת 2018, גוגל השיקה את תוכנית Android Enterprise Recommended (AER). לאשר מכשירים לשימוש עסקי. גוגל קבעה סדרה של דרישות שמכשירים צריכים לעמוד בהן כדי להיות "Android Enterprise Recommended", כולל מפרטי חומרה מינימליים, תמיכה בפריסה בכמות גדולה, זמינות של מכשירים לא נעולים, עקביות של התנהגות אפליקציה הפועלת בפרופילים מנוהלים, ומשלוח של עדכוני אבטחה של אנדרואיד בתוך 90 יום מהשחרור למשך לפחות שלושה שנים.

עם זאת, מסמכים שנחשפו על ידי מפתח אנדרואיד @deletescape שנבדקו על ידי מפתחי XDA לחשוף שגוגל מתכננת לשחרר את דרישות עדכוני האבטחה עבור מכשירי Android Enterprise Recommended. במקום זאת, גוגל דוחפת לספקים להיות שקופים יותר לגבי אופן הטיפול בעדכוני אבטחה. לפי @deletescape, מסמכים אלה שותפו עם ספקים במהלך 15 הימים האחרונים. לפיכך, אמנם איננו יכולים להבטיח שהשינויים המוצעים הללו ב-Android Enterprise Recommended יעשו את דרכם לרשימת הדרישות הסופית, אנו יכולים לפחות לאשר שגוגל שקלה את אלה לאחרונה שינויים.

הם עכשיו 170 מכשירי אנדרואיד שונים המומלצים על Android Enterprise. HMD Global, Sony, Motorola, OPPO, ובוודאי, גוגל, מציעים מכשירים שהם AER. אפילו OnePlus שוקל לקבל אישור למכשירים שלה במסגרת התוכנית. עם זאת, מותגי סמארטפונים ידועים לצרכן אינם החברות היחידות שמוכרות מכשירי Android Enterprise Recommended. סמארטפונים קשוחים מחברות כמו Zebra, Honeywell, Sonim ואחרות כלולים בתוכנית, ועכשיו אפילו מובילים יכולים למכור מכשירי AER ישירות לעסקים, בתנאי שהם יאשרו במהירות מהדורות תחזוקת אבטחה.

זרימת הקצאת המכשירים באנדרואיד 10. מָקוֹר: ג'ייסון בייטון

ה רשימת דרישות הדרוש לכניסה ל-AER אינו כה נרחב - מכשירי אנדרואיד רבים נוספים יכלו להיכנס לרשימה בהתחשב בדרישות החומרה הבסיסיות הנמוכות. אפילו דרישות התוכנה של AER אינן מצריכות שינויים רבים מהספקים, כפי שמתואר במספר מסמכים פנימיים של Google. אחד המסמכים מתאר כיצד ספקים צריכים לעצב תגי אייקונים עבור אפליקציות בפרופיל העבודה, להוסיף כרטיסייה ייעודית לאפליקציות פרופיל עבודה ב- משגר, יעדי שיתוף נפרדים עבור אפליקציות בפרופיל האישי והעבודה, טען מראש אפליקציות Google מסוימות וניהול נתונים חוצי פרופיל תִקשׁוֹרֶת. מסמך נוסף מתאר את דרישות ה-UX עבור לשונית משגר פרופיל העבודה, הגדרה מהירה של פרופיל עבודה אריחים, דיאלוגים של פרופיל עבודה, הודעות חינוך למפעיל, החלפת הקשר ועיצוב מערכת אחר אלמנטים. דרישות אלו מכוונות לקדם סטנדרט מינימלי של חומרה מקובלת כמו גם עקביות UX של תוכנה בין מכשירי Android Enterprise Recommended.

שינויים בפרופיל העבודה ב-UX באנדרואיד 11. משמאל: כרטיסייה אישית וכרטיסיית עבודה בהגדרות > פרטי אפליקציה. מימין: סמלי אפליקציית העבודה באפור כאשר פרופיל העבודה מושהה. מקור: גוגל.

עם זאת, נראה שהדרישה ממכשירים לקבל במהירות עדכוני תיקון אבטחה לאחר כל חודש עלון אבטחה של אנדרואיד (ASB) הוכח כמחסום גבוה מדי עבור ספקים רבים.

Google Pushes for Update Transparency עבור Android Enterprise מומלץ

מפתח אנדרואיד @deletescape, ששיתף לאחרונה טיוטה דלפה של מסמך הגדרת התאימות של גוגל עבור אנדרואיד 11, השיג טיוטה דלפה של הדרישות החדשות של Android Enterprise Recommended למכשירים עם אנדרואיד 11. תחת "אבטחת מכשיר" בסעיף, ששחזרנו להלן, גוגל מציעה להסיר מספר דרישות לתוכנית AER. על פי הכללים המוצעים החדשים הללו, מכשירי AER לא יובטחו עוד לקבל עדכוני תיקון אבטחה בתוך 90 יום ממועד ASB. מעניין לציין שאחת השורות בתרשים מציעה שגוגל למעשה החמירה את הדרישה הזו מ-90 יום ל-30 יום עם המעבר לאנדרואיד 10, אבל גוגל עדיין לא עדכנה את רשימה ציבורית של דרישות לשקף את השינוי הזה. עם זאת, תחת השינויים המוצעים, דרישה זו לא תחול עוד על מכשירי Android Enterprise Recommended עם אנדרואיד 11. יתר על כן, הספקים גם לא יידרשו עוד לספק 3 שנים של עדכוני אבטחה קבועים עבור מכשירי AER. עם זאת, הם עדיין יידרשו לספק עדכוני "שחרור אבטחה חירום" (ESMR), מה שאומר כנראה שהם רק צריכים להוציא עדכונים המכילים תיקונים לאבטחה קריטית פגיעויות.

אנדרואיד 10 לעומת אנדרואיד 11 - דרישות אבטחת מכשיר עבור Android Enterprise מומלץ

קטגוריה

מספר סידורי

חייב / מאי

תכונה ויישום

הערות

ש (אנדרואיד 10)

R (אנדרואיד 11)

אבטחת מכשיר

1

מאי

להפעיל תוכנית OEM Vulnerability Rewards (VRP)

להפעיל תוכנית OEM Vulnerability Rewards (VRP)

2

מאי

תמיכה ב-StrongBox

תמיכה ב-StrongBox

3

מאי

תמיכה ב-Keystore בגיבוי חומרה

תמיכה ב-Keystore בגיבוי חומרה

4

מאי

תמיכה באישור מזהה מכשיר

תמיכה באישור מזהה מכשיר

5

מאי

תמיכה באישור מפתח

תמיכה באישור מפתח

6

עדכוני אבטחה ל-30 יום

הדרישה הוסרה

הוחלף בדרישת שקיפות אבטחה

7

צריך

תמיכה במשך 3 שנים בשחרור אבטחת חירום (ESMR)

תמיכה במשך 3 שנים בשחרור אבטחת חירום (ESMR)

הוחלף בדרישת שקיפות אבטחה

8

הצפנה מבוססת קבצים - פועלת כברירת מחדל. משתמש ביישום AOSP.

הדרישה הוסרה

זוהי דרישת GMS שנאכפת עבור כל המכשירים

9

עדכוני אבטחה ל-90 יום

הדרישה הוסרה

הוחלף בדרישת שקיפות אבטחה

10

תמיכה בעדכוני אבטחה ל-3 שנים (עשוי להיות תת ESMR לשנה השלישית)

הדרישה הוסרה

הוחלף בדרישת שקיפות אבטחה

11

פרסם את רמת תיקון האבטחה העדכנית ביותר

הדרישה הוסרה

הוחלף בדרישת שקיפות אבטחה

קרא עוד

כפי שהוזכר בתרשים, גוגל מציעה להחליף הרבה מהדרישות הללו בדרישות "שקיפות" חדשות. אכן, גוגל מציעה הוספת סעיף חדש שכותרתו "שקיפות של עדכוני אבטחה/מערכת הפעלה." הדרישות החדשות מפרטות כיצד הספקים יידרשו לפרסם מידע כגון תאריך סוף החיים עבור מהדורות תחזוקת אבטחה, תיקון האבטחה האחרון זה זמין, באיזו תדירות המכשיר יקבל עדכונים, אילו תיקונים כלולים בכל עדכון, המשלוח ועדכוני התוכנה המתוכננים של המכשיר ועוד. מעניין לציין שגוגל גם דורשת שמכשירי אנדרואיד 11 יעברו בדיקות הסמכה על ידי ה- ברית ioXt לפני שהם יכולים להפוך ל-Android Enterprise Recommended. ה-ioXt Alliance היא ברית של חברות שמטרתן לשפר את האבטחה של מוצרי IoT. החברים בה כוללים את אמזון, פייסבוק, גוגל, NXP ועוד. גוגל אומרת שההסמכה הזו תוסיף לשקיפות, ככל הנראה מכיוון שהיא תיתן ארגונים מדד עצמאי של עד כמה מאובטח מכשיר מסוים ולא רק של גוגל הַבטָחָה.

אבטחה/עדכוני מערכת הפעלה שקיפות (חדשות) דרישות עבור Android Enterprise מומלץ

קטגוריה

מספר סידורי

חייב / מאי

תכונה ויישום

הערות

ש (אנדרואיד 10)

R (אנדרואיד 11)

שקיפות של עדכוני אבטחה/מערכת הפעלה

1

צריך

חייב לפרסם מידע על העדכונים הבאים באתר OEM- תאריך סיום תמיכת SMR (תאריך אחרון שבו המכשיר יקבל SMR)- אחרון תיקון אבטחה זמין- תדירות העדכונים שהמכשיר יקבל- תיקונים הכלולים בתיקון האבטחה, כולל כל OEM ספציפי תיקונים

שינוי הדרישה מתמיכת SMR לשקיפות SMR/טלאים/עדכונים

2

צריך

חייב לפרסם את המידע הבא על מערכת ההפעלה באתר OEM- מערכת ההפעלה שאיתה המכשיר נשלח- מערכת ההפעלה העיקרית הנוכחית- כל עדכון גרסאות מערכת ההפעלה העיקריות שהמכשיר יקבל

שינוי הדרישה מתמיכה לשקיפות, למשל: Pixel 3- גרסה נשלחת - Android 9- Current Ver - Android 10- גרסה עיקרית צפויה - Android 11

3

צריך

שלח את המכשיר לאישור IoXT

ניקוד IoXT מוסיף לשקיפות

קרא עוד

זה לא סוד שספקים מתקשים לעמוד בקצב של השקת עדכוני תיקון אבטחה חודשיים. יש הרבה מאוד סיבות למה זה המצב: עיכובים באישור הספק, המתנה לתיקונים מערך השבבים ועוד ספקים, הקושי בהחלת תיקונים על בניית מסגרת אנדרואיד שעברה שינויים כבדים ועל גרעיני לינוקס מחוץ לעץ, ו יותר. חלק ממשתמשי אנדרואיד אפילו שמו לב לאופן שבו ספקים מסוימים לא עומדים בדרישות AER. אמנם יש למאמצי הפיתוח והסכמי הרישיון של גוגל עזר להשתפר באיזו מהירות מתפרסמים עדכוני אבטחה עבור מכשירים רבים, ברור שהם לא הצליחו לעמוד בדרישות תיקון האבטחה הנוכחיות עבור התוכנית Android Enterprise Recommended. שחרור הדרישות הללו לטובת שקיפות רבה יותר יעזור להפוך את התוכנית לנגישה יותר לספקים וגם לתת לארגונים יותר אמון במכשיר הספציפי שהם בוחרים עבורם עובדים.

ההקלה המוצעת של עדכוני תיקון האבטחה אינה השינוי היחיד שיכול להגיע לתוכנית Android Enterprise Recommended עבור Android 11, כמובן. גוגל גם מתכננת להגדיל את דרישות החומרה המינימליות מ-2GB של זיכרון RAM ל-3GB של RAM, להחמיר את דרישות ההדרכה וליישם סט חדש של דרישות עבור UX של פרופיל העבודה. עם זאת, רוב השינויים הללו לא ישפיעו על עובדי הידע. אנדרואיד בארגון גדל מאוד מאז ימיו הראשונים. אם אתה מעוניין ללמוד עוד על ההיסטוריה שלו, אני ממליץ לקרוא המאמר המצוין הזה של ג'ייסון בייטון.