Pagal naujausią įsipareigojimą, kurį atradome „Android“ atvirojo kodo projekte, „Google“ ruošiasi norėdami atskirti tiekėjo saugos pataisos lygį ir „Android Framework“ saugos pataisą lygiu. Tai leidžia originalios įrangos gamintojams nuolat atnaujinti „Android“, kol aparatinės įrangos pardavėjai pateiks pataisymus.
Ilgą laiką savo ankstyvojoje istorijoje „Android“ turėjo mažiau saugaus nei „iOS“ reputaciją dėl „Apple“ „sienos sodo“ požiūrio į programas. Nesvarbu, ar ši praeities reputacija nusipelnė, ar ne, mes nesigilinsime į tai, bet akivaizdu, kad „Google“ padarė didelę pažangą apsaugodama „Android“ nuo pažeidžiamumų. Bendrovė ne tik teikia naujas saugos funkcijas naujausioje „Android“ versijoje, Android P, bet jie taip pat teikiaįmonės lygio saugumasNaujausiuose įrenginiuose dėl aparatinės įrangos saugos modulio „Google Pixel 2/2 XL“. Kad įrenginys būtų saugus, taip pat reikia nuolat atnaujinti visas naujausias grėsmes, todėl „Google“ tai padarė mėnesiniai saugumo biuleteniai visiems įrenginių gamintojams ir pardavėjams įtraukti pataisas nuo visų žinomų aktyvių ir galimų pažeidžiamumų. Dabar atrodo, kad bendrovė gali keisti „Android Security Patch“ sistemą, pateikdama būdą
atskirti „Android“ sistemos pataisos lygį ir pardavėjo pataisos lygį kartu su įkrovos įkrovikliu, branduoliu ir kt. arba padalinti saugos pataisų lygius, kad OĮG galėtų teikti grynus sistemos naujinimus arba geriau vartotojui nustatyti, kokio lygio pataisą jie naudoja.Mėnesio „Android“ saugos pataisos – pradžiamokslis
Visi žinome, kad saugos pataisos yra svarbios, ypač po to, kai praėjusių metų antroje pusėje buvo paviešinta virtinė didelio atgarsio pažeidžiamų vietų. The BlueBorne pažeidžiamumas užpuolė „Bluetooth“ protokolą ir buvo pataisytas 2017 m. rugsėjo mėn. pleistrai, KRACK nukreiptas į „Wi-Fi“ WPA2 silpnumą ir buvo pataisytas 2017 m. gruodžio mėn, o Spectre/Meltdown pažeidžiamumas dažniausiai buvo ištaisytas naudojant 2018 metų sausio mėnesio pataisymai. Norint taisyti tokius pažeidžiamumus kaip šie, paprastai reikia bendradarbiauti su aparatūros pardavėju (pvz., Broadcom ir Qualcomm), nes pažeidžiamumas yra susijęs su aparatūros komponentu, pvz., „Wi-Fi“ arba „Bluetooth“ lustu arba CPU. Kita vertus, „Android“ operacinėje sistemoje yra tokių problemų skrudinto pranešimo perdangos ataka kurioms norint ištaisyti reikia tik atnaujinti „Android Framework“.
Kai „Google“ išleidžia mėnesinį saugos pataisą, įrenginių gamintojai privalo ištaisyti VISAS spragas aprašyta to mėnesio saugos biuletenyje, jei nori pasakyti, kad jų įrenginys yra saugus iki to mėnesio pataisos lygiu. Kiekvieną mėnesį yra du saugos pataisos lygiai, kuriuos įrenginys gali atitikti: pataisos lygis mėnesio 1 dieną arba 5 mėnesio d. Jei įrenginys sako, kad nuo 1 mėnesio dienos veikia pataisos lygis (pvz., balandžio 1 d., o ne balandžio 5 d.), tai reiškia, kad versijoje yra visos sistemos IR tiekėjo pataisos iš praėjusio mėnesio leidimo ir visos sistemos pataisos iš naujausio saugos biuletenio. Kita vertus, jei įrenginys sako, kad veikia pataisos lygis nuo mėnesio 5 d. (balandžio 5 d. pavyzdys), tai reiškia, kad joje yra visos sistemos ir tiekėjo pataisos iš praėjusio ir šio mėnesio biuletenis. Štai lentelė, kurioje parodytas pagrindinis skirtumas tarp mėnesinių pataisų lygių:
Mėnesio saugos pataisos lygis |
balandžio 1 d |
balandžio 5 d |
|---|---|---|
Sudėtyje yra April Framework pataisų |
Taip |
Taip |
Yra balandžio mėnesio pardavėjo pataisos |
Nr |
Taip |
Yra March Framework pataisų |
Taip |
Taip |
Sudėtyje yra kovo mėnesio pardavėjo pataisų |
Taip |
Taip |
Tikriausiai žinote, kokia niūri yra saugos pataisų padėtis „Android“ ekosistemoje. Toliau pateiktoje diagramoje parodyta, kad „Google“ ir „Essential“ teikia greičiausius mėnesinius saugos pataisų atnaujinimus, o kitos įmonės atsilieka. Gali prireikti mėnesių, kol OĮG pateikia naujausius įrenginio pataisymus, pvz., kaip „OnePlus 5“ ir „OnePlus 5T“. neseniai gavo Balandžio mėnesio saugos pataisa kai jie anksčiau buvo ant gruodžio mėn.
„Android“ saugos pataisos būsena 2018 m. vasario mėn. Šaltinis: @SecX13
„Android“ saugos pataisos naujinimų teikimo problema nebūtinai yra ta, kad originalios įrangos gamintojai yra tingūs, nes kartais tai gali būti jų nekontroliuojama. Kaip minėjome anksčiau, kasmėnesiniams saugos pataisų naujinimams dažnai reikia bendradarbiauti su aparatūra pardavėjas, dėl kurio gali atsirasti vėlavimų, jei pardavėjas negali neatsilikti nuo mėnesio saugos pataisos biuletenius. Siekdama kovoti su tuo, atrodo, kad „Google“ gali pradėti atskirti „Android Framework“ saugos pataisos lygį nuo pardavėjo pataisos lygio (ir galbūt įkrovos įkroviklio ir branduolio lygiu), kad ateityje originalios įrangos gamintojai galėtų užtikrinti tik „Android“ sistemos saugumą atnaujinimus.
Spartesni „Android“ saugos pataisos naujiniai, skirti „Framework“ pažeidžiamumui?
Naujas įsipareigoti pasirodė Android atvirojo kodo projekto (AOSP) gerrit, kuriame užsimenama apie „tiekėjo saugos pataisą prop“, kuris būtų apibrėžtas Android.mk failuose, kai kuriama nauja įrenginio versija sukurtas. Šis turtas bus vadinamas "ro.vendor.build.security_patch"ir bus analogiškas "ro.build.version.security_patch“, kuris šiuo metu yra visuose „Android“ įrenginiuose, kad būtų nurodytas mėnesinis „Android“ saugos pataisos lygis.
Vietoj to, ši nauja nuosavybė mums pasakysVENDOR_SECURITY_PATCH" įrenginio lygį, kuris gali atitikti arba neatitikti "Android Framework" saugos pataisos lygio. Pavyzdžiui, įrenginyje gali veikti naujausi 2018 m. balandžio mėn. sistemos pataisymai kartu su 2018 m. vasario mėn. pardavėjo pataisomis. Atskirdama du saugos pataisų lygius, gali būti, kad „Google“ ketina leisti originalios įrangos gamintojams pristatyti naujausias „Android“ OS saugos pataisas, nors pardavėjai nepateikė atnaujintų to mėnesio pataisų pataisų lygiu.
Arba, Google gali rodyti tik minimumą iš dviejų pataisų lygių (greta galbūt įkrovos įkrovos ir branduolio pataisų lygių), kad vartotojui būtų tiksliau parodyta, kokia saugos pataisa yra jo įrenginyje. Dar neturime patvirtinimo dėl šio pataiso ketinimo, bet tikimės netrukus sužinoti daugiau.
Bent jau tai bus naudinga tiems iš mūsų Projektas TrebleBendrieji sistemos vaizdai (GSI) ir kiti AOSP pagrįsti pasirinktiniai ROM, nes dažnai pasirinktiniai ROM pateikia tik sistemos atnaujinimus, nepataisydami visų pardavėjų, įkrovos įkroviklis ir branduolio pataisos, kurios nurodytos mėnesiniame saugos biuletenyje, todėl neatitikimas sukelia painiavą tarp vartotojų, nes jie mano, kad jie naudoja naujausius pataisymus, nors iš tikrųjų jų įrenginys yra tik iš dalies pataisytas atsižvelgiant į naujausią mėnesio apsaugą biuletenis.