როგორ მუშაობს ყოველთვიური Android უსაფრთხოების პაჩის განახლებები

Xda ანალიზიNov 10, 2023
click fraud protection

ოდესმე დაფიქრებულხართ, როგორ მუშაობს ყოველთვიური Android უსაფრთხოების პაჩის განახლებები? აღარ მაინტერესებს, რადგან ჩვენ გვაქვს მხოლოდ პრაიმერი, რომ გაიგოთ მთელი პროცესი.

Google ყოველთვიურ უსაფრთხოების ბიულეტენებს აქვეყნებს 2015 წლის აგვისტოდან. უსაფრთხოების ეს ბიულეტენი შეიცავს გამოვლენილი უსაფრთხოების ხარვეზების ჩამონათვალს, რომლებიც დაფიქსირდა, რომლებიც გავლენას ახდენენ Android ჩარჩოზე, Linux-ის ბირთვზე და სხვა დახურული წყაროს მომწოდებლის კომპონენტებზე. ბიულეტენების ყველა დაუცველობა აღმოაჩინა Google-მა ან გააცნო კომპანიას. ჩამოთვლილ ყველა დაუცველობას აქვს საერთო მოწყვლადობისა და ექსპოზიციის (CVE) ნომერი, ასოცირებულთან ერთად ცნობები, დაუცველობის ტიპი, სიმძიმის შეფასება და AOSP ვერსია, რომელიც გავლენას ახდენს (თუ გამოიყენება). მაგრამ მიუხედავად ერთი შეხედვით გამარტივებული პროცესის უკან, თუ როგორ მუშაობს Android უსაფრთხოების პატჩები, რეალურად არის გარკვეულწილად რთული წინ და უკან კულისებში, რაც საშუალებას აძლევს თქვენს ტელეფონს ყოველთვიურად ან (იმედია) თითქმის ყოველთვიურად მიიღოს პატჩები.

რა ქმნის რეალურად უსაფრთხოების პატჩს?

თქვენ შეიძლება შეამჩნიეთ, რომ ყოველთვიურად არსებობენ ორი უსაფრთხოების პაჩის დონეები. ამ პატჩების ფორმატი არის წწწ-თმ-01 ან წწწ-თმ-05. მიუხედავად იმისა, რომ YYYY და MM აშკარად წარმოადგენენ წელიწადს და თვეს, "01" და "05" დამაბნეველად არ ნიშნავს იმ თვის დღეს, რომელშიც გამოვიდა უსაფრთხოების პაჩის დონე. ამის ნაცვლად, 01 და 05 არის რეალურად ორი განსხვავებული უსაფრთხოების პაჩების დონე, რომელიც გამოშვებულია ყოველთვიურად ერთსა და იმავე დღეს - პაჩის დონე ბოლოში 01 შეიცავს ანდროიდის ჩარჩოს შესწორებებს, მაგრამ არა გამყიდველის პატჩები ან ლინუქსის ბირთვის ზემოთ. გამყიდველის პატჩები, როგორც ზემოთ განვსაზღვრეთ, ეხება დახურული წყაროს კომპონენტებს, როგორიცაა დრაივერები Wi-Fi-სა და Bluetooth-ისთვის. უსაფრთხოების პატჩის დონე, რომელიც აღინიშნა -05-ით, შეიცავს ამ გამყიდველის პატჩებს, ისევე როგორც პატჩებს Linux-ის ბირთვში. შეხედეთ ქვემოთ მოცემულ ცხრილს, რომელიც დაგეხმარებათ გაგებაში.

ყოველთვიური უსაფრთხოების პაჩი დონე

2019-04-01

2019-04-05

შეიცავს აპრილის ჩარჩო პატჩებს

დიახ

დიახ

შეიცავს აპრილის გამყიდველს + ბირთვის პაჩებს

არა

დიახ

შეიცავს მარტის ჩარჩო პატჩებს

დიახ

დიახ

შეიცავს მარტის გამყიდველს + ბირთვის პაჩებს

დიახ

დიახ

რა თქმა უნდა, ზოგიერთმა OEM-მა შეიძლება აირჩიოს საკუთარი პატჩების და განახლებების უსაფრთხოების განახლებების გადატანა. OEM-ების უმეტესობას აქვს საკუთარი შეხედულება Android-ზე, ასე რომ, ლოგიკურია, რომ თქვენ შეიძლება გქონდეთ, მაგალითად, დაუცველობა Samsung ტელეფონზე, რომელიც არ არსებობს Huawei-ზე. ამ OEM-ებიდან ბევრი ასევე აქვეყნებს უსაფრთხოების საკუთარ ბიულეტენებს.

  • Google Pixel
  • Huawei
  • LG
  • მოტოროლა
  • HMD Global
  • სამსუნგი

Google-იდან თქვენს ტელეფონში უსაფრთხოების პაჩის ქრონოლოგი

უსაფრთხოების პატჩებს აქვთ ვადები, რომელიც დაახლოებით 30 დღეს მოიცავს, თუმცა ყველა OEM-ს არ შეუძლია ისარგებლოს ამ ვადების სრული სიგრძით. მოდით შევხედოთ 2019 წლის მაისის უსაფრთხოების პატჩი მაგალითად, და ჩვენ შეგვიძლია დავშალოთ ამ პაჩის შექმნის მთელი ვადები. კომპანიებს მოსწონთ არსებითი მოახერხა მათი უსაფრთხოების განახლებების მიღება იმავე დღეს როგორც Google Pixel, როგორ აკეთებენ ამას? მოკლე და მარტივი პასუხი არის ის, რომ ისინი არიან ანდროიდის პარტნიორი. 2019 წლის მაისის უსაფრთხოების ბიულეტენი გამოქვეყნდა 6 ​​მაისსGoogle Pixels და Essential Phone თითქმის მყისიერ განახლებებს იღებენ.

რას ნიშნავს იყო Android პარტნიორი

ნებისმიერ კომპანიას არ შეუძლია იყოს Android პარტნიორი, თუმცა, რა თქმა უნდა, ძირითადად ყველა ძირითადი Android OEM არის. Android Partners არის კომპანიები, რომლებსაც აქვთ ლიცენზია გამოიყენონ ანდროიდის ბრენდინგი მარკეტინგულ მასალაში. მათ ასევე აქვთ უფლება გამოაგზავნონ Google მობილური სერვისები (GMS - ეხება თითქმის ყველა Google სერვისს), სანამ ისინი აკმაყოფილებენ მოთხოვნებს თავსებადობის განსაზღვრის დოკუმენტი (CDD) და გაიარეთ თავსებადობის ტესტის ნაკრები (CTS), მომწოდებლის ტესტის ნაკრები (VTS), Google Test Suite (GTS) და რამდენიმე სხვა ტესტი. არსებობს მკაფიო განსხვავებები უსაფრთხოების პაჩის პროცესში იმ კომპანიებისთვის, რომლებიც არ არიან Android-ის პარტნიორი.

  • Android Framework პატჩები მათთვის ხელმისაწვდომია AOSP-ში გაერთიანების შემდეგ, უსაფრთხოების ბიულეტენის გამოშვებამდე 1-2 დღით ადრე.
  • Linux-ის ბირთვის ზედა ნაკადის პატჩების არჩევა შესაძლებელია, როგორც კი ხელმისაწვდომი იქნება.
  • SoC მომწოდებლებისგან შესწორებები დახურული წყაროს კომპონენტებისთვის ხელმისაწვდომია SoC გამყიდველთან შეთანხმების მიხედვით. გაითვალისწინეთ, რომ თუ გამყიდველმა მისცა OEM-ს წვდომა დახურული კომპონენტის (ებ)ის საწყის კოდზე, მაშინ OEM-ს შეუძლია თავად მოაგვაროს პრობლემა (ებ). თუ OEM-ს არ აქვს წვდომა წყაროს კოდზე, მაშინ მათ უნდა დაელოდონ გამყიდველის გამოსწორებას.

თუ Android-ის პარტნიორი ხართ, მაშინვე ეს ბევრად გაგიადვილდებათ. Android-ის პარტნიორებს ეცნობებათ ყველა Android Framework-ის და Linux-ის ბირთვის პრობლემების შესახებ ბიულეტენის გასაჯაროებამდე მინიმუმ 30 დღით ადრე. Google აწვდის პატჩებს ყველა საკითხისთვის OEM-ების შერწყმისა და შესამოწმებლად, თუმცა გამყიდველის კომპონენტის პატჩები დამოკიდებულია გამყიდველზე. მაგალითად, 2019 წლის მაისის უსაფრთხოების ბიულეტენში გამჟღავნებული პატჩები Android-ის ჩარჩოს პრობლემებისთვის, მიეწოდებოდა Android პარტნიორებს მინიმუმ 2019 წლის 20 მარტს*. Ეს არის ბევრი დამატებითი დროის.

*შენიშვნა: Google-ს შეუძლია და ხშირად აკეთებს, განაახლოს პატჩები უსაფრთხოების უახლესი ბიულეტენისთვის საჯარო გამოშვებამდე. ეს განახლებები შეიძლება მოხდეს, თუ აღმოჩენილია ახალი დაუცველობა და შეცდომები, თუ Google გადაწყვეტს ამოიღოს გარკვეული პატჩები ყოველთვიური ბიულეტენიდან კრიტიკული კომპონენტების დარღვევის გამო, თუ Google განაახლებს პატჩის წინა ვერსიით შექმნილი ხარვეზის მოსაგვარებლად და სხვა მიზეზები.

რატომ მჭირდება ამდენი ლოდინი, რომ მივიღო უსაფრთხოების პაჩი ჩემს ტელეფონზე?

მართალია, Android პარტნიორებმა (წაიკითხეთ: ყველა ძირითადი OEM) უსაფრთხოების პატჩები მიიღეს მათზე ადრე. გამოშვების შემდეგ, ბევრმა მტკივნეულად იცის, რომ შესაძლოა არ მიიღებს უსაფრთხოების განახლებას მისი გასვლიდან თვეების განმავლობაში გათავისუფლება. ეს ძირითადად ოთხიდან ერთ-ერთ მიზეზს უკავშირდება.

  • OEM-ებს შეიძლება დასჭირდეთ მძიმე ტექნიკური ცვლილებების შეტანა უსაფრთხოების პატჩის დასაყენებლად, რადგან ის შეიძლება ეწინააღმდეგებოდეს არსებულ კოდს.
  • გამყიდველი ნელია დახურული წყაროს კომპონენტების განახლების წყაროს კოდის მიწოდებაში.
  • ოპერატორის სერტიფიცირებას შეიძლება დრო დასჭირდეს.
  • კომპანიებს შეიძლება არ სურდეთ უსაფრთხოების განახლების გამოშვება ფუნქციის ერთდროულად გათავისუფლების გარეშე.

მიუხედავად იმისა, რომ ეს ყველაფერი არის საფუძვლიანი მიზეზი იმისა, რომ ბიზნესმა არ გამოუშვას უსაფრთხოების პატჩი, საბოლოო მომხმარებელს ყოველთვის არ აინტერესებს რომელიმე მათგანი. მართალია, საბოლოო მომხმარებელს ყოველთვის არ აინტერესებს უსაფრთხოების პატჩები, თუმცა უნდა. ინიციატივები, როგორიცაა Project Treble, გაფართოებული Linux LTS, და პროექტის მთავარი ხაზი გვეხმარება ამ უსაფრთხოების პაჩების გაერთიანების ტექნიკური სირთულეების აღმოფხვრაში, მაგრამ ეს არ არის საკმარისი იმისათვის, რომ OEM-ები მუდმივად იბრძვიან განახლებების გამოქვეყნებაზე. Generic Kernel Image-ით, ან GKI-ით, SoC-ის მომწოდებლებსა და OEM-ებს გაუადვილდებათ Linux-ის ბირთვის პასტების გაერთიანება, თუმცა, სავარაუდოდ, პირველ მოწყობილობებს GKI-ით მომავალ წლამდე ვერ ვიხილავთ.

მაგრამ საინტერესო ინფორმაცია, რომელიც უმეტესობამ არ იცის, არის ის ძირითადი OEM უნდა უზრუნველყოს "მინიმუმ ოთხი უსაფრთხოების განახლება" მოწყობილობის გაშვებიდან ერთი წლის განმავლობაში და მთლიანობაში 2 წლის განახლებები. Google-მა არ დაადასტურა ეს კონკრეტული პირობები, მაგრამ კომპანიამ დაადასტურა, რომ ისინი "მუშაობდნენ უსაფრთხოების შესწორებაზე [მათ] OEM ხელშეკრულებებში". რაც შეეხება Android Enterprise Recommended (AER) მოწყობილობებს, მოწყობილობებს მოეთხოვებათ უსაფრთხოების განახლებების მიღება გამოშვებიდან 90 დღის განმავლობაში 3 წლის განმავლობაში. მისაღებად საჭიროა უხეში AER მოწყობილობები 5 წელი უსაფრთხოების განახლებების შესახებ. Android One მოწყობილობებმა უნდა მიიღონ უსაფრთხოების განახლებები ყოველთვიურად 3 წლის განმავლობაში.

რა არის უსაფრთხოების პატჩში?

უსაფრთხოების პატჩი არის კიდევ ერთი განახლება, თუმცა, ზოგადად, ბევრად უფრო მცირეა ცალკეულ ჩარჩოებსა და სისტემის მოდულებში ცვლილებებით, ვიდრე სისტემის გაუმჯობესებით ან ცვლილებებით. ყოველთვიურად, Google აწვდის მოწყობილობის OEM-ებს zip ფაილს, რომელიც შეიცავს პატჩებს Android-ის ყველა ძირითადი ვერსიისთვის, რომელიც ამჟამად ჯერ კიდევ მხარდაჭერილია, უსაფრთხოების ტესტების კომპლექტთან ერთად. ეს სატესტო კომპლექტი ეხმარება OEM-ებს დაიჭირონ ხარვეზები უსაფრთხოების პატჩებში, რათა მათ არაფერი გამოტოვონ და რომ პატჩები სათანადოდ გაერთიანდა. როგორც თვე გადის, Google-მა შეიძლება გააკეთოს მცირე ცვლილებები, მაგალითად, გადაწყვიტოს, რომ ერთი კონკრეტული პატჩი არჩევითია, კონკრეტულად, თუ მისი განხორციელებისას პრობლემებია.

რაც შეეხება საბაჟო ROM-ებს?

თუ თქვენი სმარტფონი არ იღებს უსაფრთხოების ბევრ განახლებას, ეს სულაც არ ნიშნავს იმას, რომ ჯობია გადახვიდეთ საბაჟო ROM-ზე. მართალია, თქვენ მიიღებთ უსაფრთხოების განახლებებს, რომლებსაც სხვაგვარად არ მიიღებდით, ეს ისტორიის მხოლოდ ნახევარია. თქვენი ჩამტვირთველის განბლოკვა გაყენებთ თქვენს მოწყობილობაზე ფიზიკური შეტევებისადმი მიდრეკილებას, თუნდაც პროგრამული უზრუნველყოფის მხრივ, უსაფრთხოება გაძლიერდეს. ეს არ ნიშნავს იმას, რომ არ უნდა გამოიყენოთ პერსონალური ROM-ები, უბრალოდ, არსებობს სხვა შეშფოთება, როდესაც საქმე ეხება მათ გამოყენებას, რომლებიც არ გამოიყენება, თუ თქვენი ჩამტვირთავი დაბლოკილია. თუ უფრო მეტად გაწუხებთ პროგრამული უზრუნველყოფის მხარე, მაშინ მაინც უკეთესია ჩვეული ROM-ით, რომელიც ხშირად იღებს უსაფრთხოების პატჩებს.

მაგრამ გახსოვთ, ჩვენ ვისაუბრეთ განსხვავებაზე წწწ-თმ-01 და წწწ-თმ-05 პატჩებს შორის? -05 პაჩის დონე შეიცავს Linux-ის ბირთვის პატჩებს, ისევე როგორც გამყიდველის პატჩებს - დახურულ პროგრამულ უზრუნველყოფას მიმართული პატჩები. ეს ნიშნავს, რომ საბაჟო ROM-ის დეველოპერები ემორჩილებიან ნებისმიერ OEM-ს, რისთვისაც ისინი ამუშავებენ, და თუ OEM ავრცელებს განახლებულ blobs-ს. ეს კარგია მოწყობილობებისთვის, რომლებიც ჯერ კიდევ განახლებულია მწარმოებლის მიერ, მაგრამ მოწყობილობებისთვის, რომლებიც არ არის განახლებული, გამოყენებული პატჩები შეიძლება გამოყენებულ იქნას მხოლოდ Android ჩარჩოსა და Linux-ის ბირთვზე. სწორედ ამიტომ LineageOS' ნდობის ინტერფეისი აჩვენებს უსაფრთხოების ორ დონეს - ერთი არის პლატფორმა, მეორე არის გამყიდველი. მიუხედავად იმისა, რომ მხარდაჭერილი მოწყობილობების საბაჟო ROM-ები ვერ აერთიანებს ყველა უახლეს პაჩს, ისინი უფრო უსაფრთხო იქნება ვიდრე ძველი, მოძველებული ROM.