Ar kada susimąstėte, kaip veikia mėnesiniai „Android“ saugos pataisų naujiniai? Nesistebėkite, nes turime tik pagrindą, kad suprastumėte visą procesą.
„Google“ kas mėnesį skelbia saugos biuletenius nuo 2015 m. rugpjūčio mėn. Šiuose saugos biuleteniuose yra atskleistų saugos spragų, kurios buvo ištaisytos ir kurios turi įtakos „Android“ sistemai, „Linux“ branduoliui ir kitiems uždarojo kodo tiekėjo komponentams, sąrašas. Kiekvieną biuletenių pažeidžiamumą aptiko „Google“ arba atskleidė įmonei. Kiekvienas išvardytas pažeidžiamumas turi bendrų pažeidžiamumų ir galimų pavojų (CVE) numerį kartu su susijusiu nuorodas, pažeidžiamumo tipą, sunkumo įvertinimą ir paveiktą AOSP versiją (jei taikoma). Tačiau nepaisant iš pažiūros supaprastinto „Android“ saugos pataisų veikimo proceso, iš tikrųjų yra šiek tiek sudėtingi užkulisiai, kurie leidžia jūsų telefonui gauti kas mėnesį arba (tikiuosi) beveik kas mėnesį pleistrai.
Kas iš tikrųjų sudaro saugos pataisą?
Galbūt pastebėjote, kad kiekvieną mėnesį tokių yra
du saugos pataisų lygiai. Šių pataisų formatas yra YYYY-MM-01 arba YYYY-MM-05. Nors YYYY ir MM akivaizdžiai žymi atitinkamai metus ir mėnesį, „01“ ir „05“ klaidinančiai iš tikrųjų nereiškia mėnesio, kurį buvo išleistas tas saugos pataisos lygis, dienos. Vietoj to, 01 ir 05 iš tikrųjų yra du skirtingi saugos pataisų lygiai, išleidžiami tą pačią kiekvieno mėnesio dieną – pataisos lygis, kurio pabaigoje yra 01, yra „Android“ sistemos pataisymai, bet ne tiekėjo pataisos arba ankstesnių Linux branduolio pataisų. Pardavėjo pataisos, kaip apibrėžėme aukščiau, reiškia uždarojo kodo komponentų, pvz., „Wi-Fi“ ir „Bluetooth“ tvarkyklių, pataisymus. Saugos pataisos lygis, pažymėtas -05, apima šiuos tiekėjo pataisymus, taip pat pataisas Linux branduolyje. Pažvelkite į toliau pateiktą lentelę, kuri gali padėti suprasti.Mėnesio saugos pataisos lygis |
2019-04-01 |
2019-04-05 |
|---|---|---|
Sudėtyje yra April Framework pataisų |
Taip |
Taip |
Yra balandžio pardavėjo + branduolio pataisos |
Nr |
Taip |
Yra March Framework pataisų |
Taip |
Taip |
Sudėtyje yra kovo pardavėjo + branduolio pataisų |
Taip |
Taip |
Žinoma, kai kurie originalios įrangos gamintojai gali pasirinkti savo pataisas ir naujinimus įtraukti į saugos naujinimus. Daugelis originalios įrangos gamintojų turi savo požiūrį į „Android“, todėl prasminga tik tai, kad galite turėti, pavyzdžiui, „Samsung“ telefono pažeidžiamumą, kurio „Huawei“ nėra. Daugelis šių originalios įrangos gamintojų taip pat skelbia savo saugos biuletenius.
- Google Pixel
- Huawei
- LG
- Motorola
- „HMD Global“.
- Samsung
„Google“ saugos pataisos jūsų telefone laiko juosta
Saugos pataisų laiko juosta apytiksliai apima apie 30 dienų, tačiau ne kiekvienas originalios įrangos gamintojas gali pasinaudoti visu tos laiko juostos ilgiu. Pažvelkime į 2019 m. gegužės mėn. saugos pataisa pavyzdžiui, ir mes galime suskaidyti visą šio pataisos sukūrimo laiko juostą. Įmonės mėgsta Esminis sugeba gauti savo saugos naujinimus tą pačią dieną kaip „Google Pixel“, tai kaip jie tai daro? Trumpas ir paprastas atsakymas yra tas, kad jie yra Android partneris. 2019 m. gegužės mėn. saugos biuletenis buvo paskelbta gegužės 6 d, su „Google Pixels“ ir „Essential Phone“ atnaujinimais beveik iš karto.
Ką reiškia būti „Android“ partneriu
Ne bet kuri įmonė gali būti „Android“ partnerė, nors iš esmės tai yra visi pagrindiniai „Android“ OĮG. „Android Partners“ yra įmonės, kurioms suteikta licencija naudoti „Android“ prekės ženklą rinkodaros medžiagoje. Jiems taip pat leidžiama siųsti „Google Mobile Services“ (GMS – reiškia beveik visas „Google“ paslaugas), jei jos atitinka reikalavimus, nurodytus Suderinamumo apibrėžimo dokumentą (CDD) ir išlaikyti suderinamumo testų komplektą (CTS), pardavėjo testų komplektą (VTS), „Google Test Suite“ (GTS) ir keletą kitų testų. Saugos pataisų procesas skiriasi įmonėms, kurios nėra „Android“ partneris.
- „Android“ sistemos pataisos jiems pasiekiamos sujungus su AOSP likus 1–2 dienoms iki saugos biuletenio išleidimo.
- „Linux“ branduolio pataisas galima pasirinkti, kai tik jos bus prieinamos.
- Priklausomai nuo susitarimų su SoC pardavėju, galimi uždarojo kodo komponentų pataisymai iš SoC pardavėjų. Atminkite, kad jei pardavėjas suteikė OĮG prieigą prie uždarojo kodo komponento (-ų) šaltinio kodo, OĮG gali pats išspręsti problemą (-as). Jei OĮG neturi prieigos prie šaltinio kodo, jie turi palaukti, kol pardavėjas išduos pataisą.
Jei esate „Android“ partneris, jums tai iš karto bus daug lengviau. „Android“ partneriai yra informuojami apie visas „Android“ sistemos ir „Linux“ branduolio problemas ne vėliau kaip prieš 30 dienų iki biuletenio paskelbimo viešai. „Google“ teikia pataisas visoms problemoms, kurias OĮG gali sujungti ir išbandyti, nors tiekėjo komponentų pataisos priklauso nuo pardavėjo. Pavyzdžiui, 2019 m. gegužės mėn. saugos biuletenyje atskleistos „Android“ sistemos problemų pataisos „Android“ partneriams buvo pateiktos bent jau 2019 m. kovo 20 d.*. Tai yra daug papildomo laiko.
*Pastaba: „Google“ gali ir dažnai atnaujina naujausio saugos biuletenio pataisas iki pat viešo išleidimo. Šie atnaujinimai gali įvykti, jei bus rasta naujų pažeidžiamumų ir klaidų, jei „Google“ nuspręs pašalinti tam tikrus pataisymus iš mėnesinio biuletenio jei „Google“ atnaujina pataisą, kad išspręstų ankstesnės pataisos versijos sukurtą klaidą, nes ji sulaužys svarbius komponentus ir priežastys.
Kodėl turiu taip ilgai laukti, kol gausiu saugos pataisą savo telefone?
Tiesa, kad „Android Partners“ (skaitykite: visi pagrindiniai originalios įrangos gamintojai) saugos pataisas gavo gerokai anksčiau nei leidimo, daugelis skaudžiai suvokia, kad saugos naujinimo gali negauti kelis mėnesius po jo paleisti. Paprastai tai nulemia viena iš keturių priežasčių.
- OĮG gali tekti atlikti didelių techninių pakeitimų, kad būtų pritaikyta saugos pataisa, nes ji gali prieštarauti esamam kodui.
- Pardavėjas lėtai teikia naujinimo šaltinio kodą uždarojo kodo komponentams.
- Vežėjo sertifikavimas gali užtrukti.
- Įmonės gali nenorėti išleisti saugos naujinimo, tuo pat metu neišleisdamos ir funkcijos.
Nors visa tai yra pagrįstos priežastys verslui neišleisti saugos pataisos, galutiniam vartotojui ne visada rūpi nė viena iš jų. Tiesa, galutiniam vartotojui ne visada rūpi ir saugos pataisos, nors turėtų. Tokios iniciatyvos kaip „Project Treble“, pratęstas Linux LTS, ir Pagrindinis projektas padeda pašalinti techninius šių saugos pataisų sujungimo sunkumus, tačiau to nepakanka, kad originalios įrangos gamintojai nuolat stengtųsi išleisti naujinimus. Naudodami bendrąjį branduolio vaizdą arba GKI, SoC pardavėjai ir originalios įrangos gamintojai galės lengviau sujungti „Linux“ branduolio pataisas, tačiau greičiausiai pirmuosius įrenginius su GKI pamatysime tik kitais metais.
Tačiau įdomi informacija, kurios dauguma nežino, yra pagrindiniai originalios įrangos gamintojai privalo pateikti „bent keturis saugos naujinimus“ per metus nuo įrenginio paleidimo ir 2 metus iš viso naujinimų. „Google“ nepatvirtino šių konkrečių sąlygų, tačiau bendrovė patvirtino, kad ji „dirbo kurdama saugos pataisymus [savo] OĮG sutartyse“. Kalbant apie Android Enterprise Recommended (AER) įrenginius, įrenginiai turi gauti saugos naujinimus per 90 dienų nuo išleidimo 3 metus. Norint gauti, reikalingi tvirti AER įrenginiai 5 metai saugos naujinimų. „Android One“ įrenginiai turėtų gauti saugos naujinimus kas mėnesį 3 metus.
Kas yra saugos pataisoje?
Saugos pataisa yra tik dar vienas naujinimas, nors paprastai jis yra daug mažesnis su atskirų sistemų ir sistemos modulių pakeitimais, o ne visos sistemos patobulinimais ar pakeitimais. Kiekvieną mėnesį „Google“ įrenginių originalios įrangos gamintojams pateikia ZIP failą, kuriame yra visų pagrindinių šiuo metu vis dar palaikomų „Android“ versijų pataisos, taip pat saugos bandymų rinkinys. Šis bandymų rinkinys padeda originalios įrangos gamintojams rasti saugos pataisų spragas, kad jie nieko nepraleistų ir kad pleistrai buvo tinkamai sujungti. Mėnesiui bėgant „Google“ gali atlikti nedidelius pataisymus, pavyzdžiui, nuspręsti, kad vienas konkretus pleistras yra neprivalomas, ypač jei kyla problemų jį įdiegiant.
O kaip dėl pasirinktinių ROM?
Jei jūsų išmanusis telefonas negauna daug saugos naujinimų, tai nebūtinai reiškia, kad geriau pereiti prie pasirinktinės ROM. Nors tiesa, kad gausite saugos naujinimus, kurių kitaip nebūtumėt gavę, tai tik pusė istorijos. Atrakinę įkrovos tvarkyklę būsite imlūs fizinėms atakoms prieš įrenginį, net jei programinės įrangos saugumas yra sugriežtintas. Tai nereiškia, kad neturėtumėte naudoti pasirinktinių ROM, tiesiog yra kitų problemų, susijusių su jų naudojimu, kurios netaikomos, jei įkrovos įkroviklis yra užrakintas. Jei labiau nerimaujate dėl programinės įrangos pusės, vis tiek geriau naudokite tinkintą ROM, į kurį dažnai pridedami saugos pataisymai.
Tačiau atsiminkite, kad kalbėjome apie skirtumą tarp YYYY-MM-01 ir YYYY-MM-05 pleistrų? -05 pataisos lygis apima Linux branduolio pataisas, taip pat tiekėjo pataisas – pataisas, taikomas uždarojo kodo programinei įrangai. Tai reiškia, kad pasirinktinių ROM kūrėjai yra priklausomi nuo bet kurio OĮG, kuriam jie kuria, malonės ir ar OĮG išleis atnaujintas blobas, ar ne. Tai tinka įrenginiams, kuriuos gamintojas vis dar atnaujina, tačiau įrenginiams, kurių neatnaujina, pritaikytus pataisymus galima pritaikyti tik „Android“ sistemai ir „Linux“ branduoliui. Štai kodėl „LineageOS“ Pasitikėjimo sąsaja rodo du saugos pataisos lygius – vienas yra platforma, kitas – pardavėjas. Net jei pasirinktini ROM nepalaikomiems įrenginiams negali visiškai integruoti visų naujausių pataisų, jie bus saugesni nei senesni, pasenę ROM.