Saskaņā ar nesen veikto apņemšanos, ko atklājām Android atvērtā pirmkoda projektā, Google gatavojas lai atšķirtu piegādātāja drošības ielāpa līmeni un Android Framework drošības ielāpu līmenī. Tas ļauj oriģinālo iekārtu ražotājiem atjaunināt Android, gaidot, kamēr aparatūras pārdevēji nodrošinās labojumus.
Ilgu laiku savā agrīnajā vēsturē Android bija mazāk droša nekā iOS, jo Apple lietojumprogrammām izmantoja "sienu dārzu". Neatkarīgi no tā, vai šī pagātnes reputācija ir pelnīta, mēs neņemsim vērā, bet ir skaidrs, ka Google ir guvis lielus panākumus, lai aizsargātu Android pret ievainojamībām. Uzņēmums ne tikai nodrošina jaunus drošības līdzekļus jaunākajā Android versijā, Android P, bet viņi arī nodrošinauzņēmuma līmeņa drošība" savās jaunākajās ierīcēs, pateicoties Google Pixel 2/2 XL aparatūras drošības modulim. Lai nodrošinātu ierīces drošību, ir nepieciešami arī pastāvīgi atjauninājumi, lai izlabotu arī visus jaunākos draudus, tāpēc Google to ir darījis ikmēneša drošības biļeteni visiem ierīču ražotājiem un pārdevējiem iekļaut ielāpus pret visām zināmajām aktīvajām un iespējamām ievainojamībām. Tagad šķiet, ka uzņēmums, iespējams, veic izmaiņas Android drošības ielāpu sistēmā, nodrošinot veidu, kā to izdarīt
atšķirt Android ietvara ielāpa līmeni un piegādātāja ielāpa līmeni kopā ar sāknēšanas ielādētāju, kodolu utt. vai nu sadalīt drošības ielāpu līmeņus, lai oriģinālā aprīkojuma ražotāji varētu nodrošināt tīrus ietvara atjauninājumus vai labāk noteikt lietotājam, kādu ielāpu līmeni tie izmanto.Ikmēneša Android drošības ielāpi — pamatinformācija
Mēs visi zinām, ka drošības ielāpi ir svarīgi, jo īpaši pēc tam, kad pagājušā gada otrajā pusē tika publiskota virkne augsta līmeņa ievainojamību. The BlueBorne ievainojamība uzbruka Bluetooth protokolam un tika labots 2017. gada septembra mēneša ielāpi, KRACK mērķis ir Wi-Fi WPA2 vājums, un tas tika labots 2017. gada decembris, un Spectre/Meltdown ievainojamības lielākoties tika novērstas ar 2018. gada janvāra ielāpi. Lai labotu šādas ievainojamības, parasti nepieciešama sadarbība ar aparatūras pārdevēju (piemēram, Broadcom un Qualcomm), jo ievainojamība attiecas uz aparatūras komponentu, piemēram, Wi-Fi vai Bluetooth mikroshēmu vai PROCESORS. No otras puses, Android operētājsistēmā ir tādas problēmas kā šī tosta ziņojuma pārklājuma uzbrukums kuru labošanai nepieciešams tikai Android Framework atjauninājums.
Ikreiz, kad Google izlaiž ikmēneša drošības ielāpu, ierīču ražotājiem ir jānovērš VISAS ievainojamības. norādīts šī mēneša drošības biļetenā, ja viņi vēlas teikt, ka viņu ierīce ir droša līdz šim ikmēneša ielāpu līmenī. Katru mēnesi ir divi drošības ielāpu līmeņi, kuriem ierīce var atbilst: ielāpu līmenis mēneša 1. datumā vai mēneša 5. datums. Ja ierīce saka, ka tajā darbojas ielāpu līmenis no mēneša 1. datuma (piem., 1. aprīlis, nevis 5. aprīlis), tas nozīmē, ka versijā ir visi ietvara UN piegādātāja ielāpi no pagājušā mēneša izlaiduma, kā arī visi jaunākā drošības biļetena ietvara ielāpi. No otras puses, ja ierīce saka, ka tajā darbojas ielāpu līmenis no mēneša 5. datuma (5. aprīlī, piemēram), tas nozīmē, ka tajā ir ietverti visi iepriekšējā un šī mēneša ietvara un piegādātāju ielāpi biļetens. Šeit ir tabula, kas parāda pamata atšķirības starp ikmēneša ielāpu līmeņiem:
Ikmēneša drošības ielāpu līmenis |
1. aprīlis |
5. aprīlis |
---|---|---|
Satur aprīļa ietvara ielāpus |
Jā |
Jā |
Satur aprīļa pārdevēju ielāpus |
Nē |
Jā |
Satur marta ietvara ielāpus |
Jā |
Jā |
Satur marta pārdevēju ielāpus |
Jā |
Jā |
Jūs droši vien zināt, cik drūma ir drošības ielāpu situācija Android ekosistēmā. Tālāk redzamajā diagrammā redzams, ka Google un Essential nodrošina ātrākos ikmēneša drošības ielāpu atjauninājumus, kamēr citi uzņēmumi atpaliek. Var paiet mēneši, līdz oriģinālā aprīkojuma ražotājs ierīcei pievienos jaunākos ielāpus, piemēram, kā OnePlus 5 un OnePlus 5T nesen saņēma Aprīļa drošības ielāps kad tie iepriekš atradās decembra ielāpā.
Android drošības ielāpa statuss 2018. gada februārī. Avots: @SecX13
Problēma ar Android drošības ielāpu atjauninājumu nodrošināšanu ne vienmēr ir saistīta ar oriģinālo iekārtu ražotāju slinkumu, jo dažreiz tas var būt ārpus viņu kontroles. Kā jau minējām iepriekš, ikmēneša drošības ielāpu atjauninājumiem bieži ir nepieciešama aparatūras sadarbība pārdevējs, kas var izraisīt aizkavēšanos, ja pārdevējs nevar sekot līdzi ikmēneša drošības ielāpam biļeteni. Lai cīnītos pret to, šķiet, ka Google var sākt atdalīt Android Framework drošības ielāpu līmeni no pārdevēja ielāpu līmeņa (un, iespējams, sāknēšanas ielādētājs un kodola līmenis), lai nākotnē OEM varētu nodrošināt tikai Android sistēmas drošību atjauninājumus.
Ātrāki Android drošības ielāpu atjauninājumi Framework ievainojamībām?
Jauns apņemties ir parādījies Android atvērtā pirmkoda projektā (AOSP), kas norāda uz "pārdevēja drošības ielāpu prop", kas tiktu definēti Android.mk failos ikreiz, kad ierīcei tiek veidota jauna versija izveidots. Šis īpašums tiks saukts par "ro.vendor.build.security_patch
"un būs analogs "ro.build.version.security_patch
", kas pašlaik pastāv visās Android ierīcēs, lai norādītu ikmēneša Android drošības ielāpa līmeni.
Tā vietā šis jaunais īpašums mums pateiksVENDOR_SECURITY_PATCH
" ierīces līmenim, kas var atbilst vai neatbilst Android Framework drošības ielāpa līmenim. Piemēram, ierīce var darboties ar jaunākajiem 2018. gada aprīļa ietvara ielāpiem, kā arī 2018. gada februāra pārdevēja ielāpiem. Nošķirot divus drošības ielāpu līmeņus, iespējams, ka Google plāno ļaut oriģinālo iekārtu ražotājiem piegādāt jaunākie Android OS drošības ielāpi, lai gan pārdevēji šim ikmēneša ielāpu nav nodrošinājuši atjauninātus ielāpus līmenī.
Alternatīvi, Google var parādīt tikai minimumu no diviem ielāpu līmeņiem (līdzās, iespējams, sāknēšanas ielādes un kodola ielāpu līmeņiem), lai precīzāk parādītu lietotājam, kurš drošības ielāps ir ieslēgts viņa ierīcē. Mums vēl nav apstiprinājuma par šī ielāpa nodomu, taču ceram drīz uzzināt vairāk.
Vismaz tas būs noderīgi tiem no mums, kas darbojas Projekts TrebleVispārējie sistēmas attēli (GSI) un citi uz AOSP balstīti pielāgoti ROM, jo bieži pielāgotie ROM nodrošina tikai ietvara atjauninājumus, neizlabojot visu pārdevēju, bootloader un kodola ielāpus, kas ir norādīti ikmēneša drošības biļetenā, tāpēc neatbilstība rada apjukumu starp lietotājiem, jo viņi domā, ka viņi izmanto jaunākos ielāpus, lai gan patiesībā viņu ierīce ir tikai daļēji labota pret jaunāko ikmēneša drošību biļetens.