Android オープンソース プロジェクトで発見した最近のコミットによると、Google は準備を進めています ベンダーのセキュリティ パッチ レベルと Android フレームワークのセキュリティ パッチを区別するため レベル。 これにより、OEM はハードウェア ベンダーが修正を提供するまでの間、Android を最新の状態に保つことができます。
Android は、その初期の歴史の長い間、アプリケーションに対する Apple の「壁に囲まれた庭園」アプローチのせいで、iOS よりも安全性が低いという評判がありました。 その過去の評判が正当であるかどうかについては、ここで深く掘り下げるつもりはありませんが、Google が Android の脆弱性の保護において大きな進歩を遂げたことは明らかです。 同社は Android の最新バージョンで新しいセキュリティ機能を提供するだけでなく、 アンドロイドPですが、「」も提供しています。エンタープライズグレードのセキュリティGoogle Pixel 2/2 XL のハードウェア セキュリティ モジュールのおかげで、最新のデバイスに搭載されています。 デバイスを安全に保つには、最新の脅威すべてにパッチを適用するための継続的なアップデートも必要です。そのため、Google は 毎月のセキュリティ情報 すべてのデバイス メーカーとベンダーが、既知のすべてのアクティブな脆弱性および潜在的な脆弱性に対するパッチを組み込むようにします。 現在、同社は次の方法を提供することで Android セキュリティ パッチ システムに変更を加えているようです。 Android フレームワークのパッチ レベルとベンダーのパッチ レベルを区別する ブートローダー、カーネルなどとともに。 OEM が純粋なフレームワークの更新を提供できるようにセキュリティ パッチ レベルを分割するか、実行しているパッチ レベルをユーザーにわかりやすく表示します。
毎月の Android セキュリティ パッチ - 入門書
特に昨年後半に一連の注目を集めた脆弱性が公開された後は、セキュリティ パッチが重要であることは誰もが知っています。 の BlueBorneの脆弱性 Bluetooth プロトコルを攻撃し、パッチが適用されました。 2017 年 9 月の月例パッチ, クラック
Wi-Fi WPA2 の弱点をターゲットにしており、パッチが適用されました 2017年12月、Spectre/Meltdown の脆弱性はほとんどが修正されました。 2018 年 1 月のパッチ. このような脆弱性にパッチを適用するには、通常、ハードウェア ベンダー (Broadcom など) との協力が必要です。 および Qualcomm)、この脆弱性は Wi-Fi や Bluetooth チップ、または CPU。 一方で、Android OSには次のような問題もあります。 トーストメッセージオーバーレイ攻撃 この問題を修正するには、Android フレームワークを更新するだけで済みます。Google が月次セキュリティ パッチを公開するたびに、デバイス メーカーはすべての脆弱性を修正する必要があります。 その月例パッチまでデバイスが安全であると言いたい場合は、その月のセキュリティ情報に概要が記載されています レベル。 毎月、デバイスが満たせるセキュリティ パッチ レベルは 2 つあります。1 つは月の 1 日、もう 1 つは毎月 5 日のパッチ レベルです。 デバイスが、月の 1 日からパッチ レベルを実行していると表示した場合 (例: 4 月 5 日ではなく 4 月 1 日)、つまり、ビルドには、先月のリリースのすべてのフレームワークとベンダーのパッチに加え、最新のセキュリティ情報のすべてのフレームワーク パッチが含まれていることを意味します。 一方、デバイスが毎月 5 日 (4 月 5 日) からパッチ レベルを実行していると表示した場合、 例)、つまり、先月と今月のすべてのフレームワークとベンダーのパッチが含まれていることを意味します。 速報。 以下は、月次パッチ レベル間の基本的な違いを例示した表です。
月次セキュリティパッチレベル |
4月1日 |
4月5日 |
|---|---|---|
4 月のフレームワーク パッチが含まれています |
はい |
はい |
4 月のベンダー パッチが含まれています |
いいえ |
はい |
3 月のフレームワーク パッチが含まれています |
はい |
はい |
3 月のベンダー パッチが含まれています |
はい |
はい |
Android エコシステムにおけるセキュリティ パッチの状況がどれほど悲惨であるかはおそらくご存知でしょう。 以下のグラフは、Google と Essential が毎月のセキュリティ パッチ アップデートを最速で提供しているのに対し、他の企業は遅れをとっていることを示しています。 OEM が最新のパッチをデバイスに適用するには、数か月かかる場合があります。 OnePlus 5 および OnePlus 5T 最近受け取った 4月のセキュリティパッチ 以前は 12 月のパッチに含まれていました。
2018 年 2 月現在の Android セキュリティ パッチのステータス。 ソース: @秒X13
Android セキュリティ パッチの更新を提供する際の問題は、OEM が怠惰であるということではなく、場合によっては制御できない場合もあります。 前述したように、毎月のセキュリティ パッチの更新にはハードウェアの協力が必要になることがよくあります。 ベンダーが毎月のセキュリティ パッチに対応できない場合、遅延が発生する可能性があります。 速報。 これに対抗するために、Google は Android フレームワークのセキュリティ パッチ レベルをベンダーのパッチ レベルから分離し始める可能性があるようです。 (場合によってはブートローダーとカーネル レベルも) そのため、将来的には OEM が純粋に Android フレームワークのセキュリティを提供できるようになる可能性があります。 更新情報。
フレームワークの脆弱性に対する Android セキュリティ パッチの更新が速くなりますか?
新しい 専念 Android オープンソース プロジェクト (AOSP) の gerrit に登場し、「ベンダー セキュリティ パッチ」を示唆しています。 prop」は、デバイスの新しいビルドが行われるたびに Android.mk ファイルで定義されます。 作成した。 このプロパティは「」と呼ばれますro.vendor.build.security_patch" と同様になります。"ro.build.version.security_patch" これは現在、すべての Android デバイスに存在し、毎月の Android セキュリティ パッチ レベルを指定します。
この新しいプロパティは代わりに、「VENDOR_SECURITY_PATCH" デバイスのレベル。Android フレームワークのセキュリティ パッチ レベルと一致する場合と一致しない場合があります。 たとえば、デバイスは、2018 年 2 月のベンダー パッチとともに、最新の 2018 年 4 月のフレームワーク パッチで実行されている可能性があります。 2 つのセキュリティ パッチ レベルを区別することで、Google は OEM にセキュリティ パッチ レベルを出荷させるつもりである可能性があります。 ベンダーが月例パッチの更新パッチを提供していない場合でも、最新の Android OS セキュリティ パッチ レベル。
あるいは、 グーグル 最低限のものを表示するだけかもしれません デバイスに適用されているセキュリティ パッチをより正確にユーザーに示すために、2 つのパッチ レベル (場合によってはブートローダーおよびカーネル パッチ レベルと併せて) を使用します。 このパッチの背後にある意図についてはまだ確認されていませんが、すぐに詳細が判明することを期待しています。
少なくとも、これは私たちにとって役に立ちます。 プロジェクト・トレブル一般的なシステムイメージ (GSI) およびその他の AOSP ベースのカスタム ROM は、多くの場合、カスタム ROM がすべてのベンダーにパッチを適用せずにフレームワークの更新のみを提供するため、 ブートローダーと月次セキュリティ情報で指定されているカーネル パッチが一致しないため、不一致によりユーザーが混乱を招くことになります。 最新のパッチを実行していると思っているが、実際にはデバイスに最新の月次セキュリティに対するパッチが部分的にしか適用されていない 速報。