Kā darbojas ikmēneša Android drošības ielāpu atjauninājumi

Vai esat kādreiz domājis, kā darbojas ikmēneša Android drošības ielāpu atjauninājumi? Nebrīnieties vairāk, jo mums ir tikai pamats, lai jūs varētu izprast visu procesu.

Google ikmēneša drošības biļetenus publicē kopš 2015. gada augusta. Šajos drošības biļetenos ir saraksts ar atklātajām drošības ievainojamībām, kas ir novērstas un ietekmē Android sistēmu, Linux kodolu un citus slēgtā koda piegādātāju komponentus. Katru biļetenu ievainojamību atklāja Google vai atklāja uzņēmumam. Katrai uzskaitītajai ievainojamībai ir kopīgās ievainojamības un iedarbības (CVE) numurs, kā arī saistītais atsauces, ievainojamības veids, smaguma novērtējums un ietekmētā AOSP versija (ja piemērojams). Taču, neskatoties uz šķietami vienkāršoto procesu, kas ir saistīts ar Android drošības ielāpu darbību, patiesībā ir zināma daļa sarežģītas aizkulises, kas ļauj tālrunim katru mēnesi vai (cerams) gandrīz katru mēnesi ielāpus.

Kas patiesībā veido drošības ielāpu?

Jūs, iespējams, pamanījāt, ka katru mēnesi patiesībā ir 

divi drošības ielāpu līmeņi. Šo ielāpu formāts ir GGGG-MM-01 vai GGGG-MM-05. Lai gan GGGG un MM acīmredzami apzīmē attiecīgi gadu un mēnesi, "01" un "05" mulsinoši faktiski nenozīmē tā mēneša dienu, kurā tika izlaists drošības ielāpa līmenis. Tā vietā 01 un 05 faktiski ir divi dažādi drošības ielāpu līmeņi, kas tiek izlaisti vienā un tajā pašā dienā katru mēnesi — ielāpu līmenis ar 01 beigās satur Android sistēmas labojumus, taču piegādātāju ielāpus vai Linux kodola ielāpus. Pārdevēju ielāpi, kā mēs definējām iepriekš, attiecas uz slēgtā koda komponentu, piemēram, Wi-Fi un Bluetooth draiveru, labojumiem. Drošības ielāpu līmenis, ko apzīmē ar -05, satur šos pārdevēja ielāpus, kā arī Linux kodola ielāpus. Apskatiet zemāk esošo tabulu, kas var palīdzēt saprast.

Ikmēneša drošības ielāpu līmenis

2019-04-01

2019-04-05

Satur aprīļa ietvara ielāpus

Satur aprīļa piegādātāju + kodola ielāpus

Satur marta ietvara ielāpus

Satur marta pārdevēja + kodola ielāpus

Protams, daži oriģinālo iekārtu ražotāji var izvēlēties iekļaut savus ielāpus un atjauninājumus arī drošības atjauninājumos. Lielākajai daļai oriģinālo iekārtu ražotāju ir savs viedoklis par Android, tāpēc ir tikai jēga, ka, piemēram, Samsung tālrunī var būt ievainojamība, kas nepastāv Huawei. Daudzi no šiem oriģinālo iekārtu ražotājiem arī publicē savus drošības biļetenus.

  • Google Pixel
  • Huawei
  • LG
  • Motorola
  • HMD globālais
  • Samsung

Google tālruņa drošības ielāpa laika skala

Drošības ielāpu laika grafiks ir aptuveni 30 dienas, lai gan ne katrs oriģinālā aprīkojuma ražotājs var izmantot visu šo laika grafiku. Apskatīsim 2019. gada maija drošības ielāps piemēram, un mēs varam sadalīt visu šī ielāpa izveides laika grafiku. Uzņēmumiem patīk Būtiski izdodas dabūt savus drošības atjauninājumus tajā pašā dienā kā Google Pixel, kā viņi to dara? Īsā un vienkāršā atbilde ir tāda, ka viņi ir Android partneris. 2019. gada maija drošības biļetens tika publicēts 6. maijā, gan Google Pixels, gan Essential Phone saņemot gandrīz tūlītējus atjauninājumus.

Ko nozīmē būt Android partnerim

Ne tikai jebkurš uzņēmums var būt Android partneris, lai gan, protams, būtībā visi lielākie Android OEM tādi ir. Android partneri ir uzņēmumi, kuriem ir piešķirta licence Android zīmola izmantošanai mārketinga materiālos. Viņiem ir arī atļauts piegādāt Google mobilos pakalpojumus (GMS — tas attiecas uz gandrīz visiem Google pakalpojumiem), ja vien tie atbilst prasībām, kas izklāstītas Saderības definīcijas dokumentu (CDD) un nokārtojiet saderības testu komplektu (CTS), pārdevēja testa komplektu (VTS), Google testu komplektu (GTS) un dažus citus testus. Ir izteiktas atšķirības drošības ielāpu procesā uzņēmumiem, kas nav Android partneris.

  • Android ietvara ielāpi viņiem ir pieejami pēc apvienošanas ar AOSP 1–2 dienas pirms drošības biļetena izlaišanas.
  • Augšējos Linux kodola ielāpus var atlasīt pēc iespējas ātrāk, kad tie ir pieejami.
  • Slēgtā koda komponentu labojumi no SoC pārdevējiem ir pieejami atkarībā no līgumiem ar SoC piegādātāju. Ņemiet vērā: ja piegādātājs ir piešķīris OEM piekļuvi slēgtā pirmkoda komponenta(-u) pirmkodam, OEM var pats novērst problēmu(-as). Ja OEM nav piekļuves avota kodam, viņam jāgaida, līdz pārdevējs izdos labojumu.

Ja esat Android partneris, jums tas uzreiz ir daudz vienkāršāk. Android partneri tiek informēti par visām Android sistēmas problēmām un Linux kodola problēmām vismaz 30 dienas pirms biļetena publicēšanas. Google nodrošina ielāpus visām problēmām, ko OEM var apvienot un pārbaudīt, lai gan pārdevēja komponentu ielāpi ir atkarīgi no pārdevēja. Piemēram, 2019. gada maija drošības biļetenā atklātie Android ietvara problēmu ielāpi tika nodrošināti Android partneriem vismaz 2019. gada 20. martā*. Tas ir a daudz papildu laika.

*Piezīme. Google var atjaunināt un bieži arī dara jaunākā drošības biļetena ielāpus līdz pat publiskai izlaišanai. Šie atjauninājumi var notikt, ja ir atrastas jaunas ievainojamības un kļūdas, ja Google nolemj noņemt noteiktus ielāpus no ikmēneša biļetena. jo tas sabojā kritiskos komponentus, ja Google atjaunina ielāpu, lai novērstu iepriekšējās ielāpa versijas radīto kļūdu un citas iemeslus.

Kāpēc man ir jāgaida tik ilgi, lai saņemtu drošības ielāpu savā tālrunī?

Lai gan ir taisnība, ka Android partneri (lasi: visi lielākie oriģinālo iekārtu ražotāji) saņēma drošības ielāpus labu laiku pirms to iegādes. laidienu, daudzi sāpīgi apzinās, ka, iespējams, nesaņems drošības atjauninājumu vairākus mēnešus pēc tā atbrīvot. Parasti tas ir saistīts ar vienu no četriem iemesliem.

  • OEM, iespējams, būs jāveic nopietnas tehniskas izmaiņas, lai pielāgotu drošības ielāpu, jo tas var būt pretrunā ar esošo kodu.
  • Pārdevējs lēni nodrošina slēgtā pirmkoda komponentu atjaunināšanas avota kodu.
  • Pārvadātāja sertifikācija var aizņemt laiku.
  • Uzņēmumi var nevēlēties izlaist drošības atjauninājumu, vienlaikus neizlaižot arī kādu līdzekli.

Lai gan visi šie ir pamatoti iemesli, lai uzņēmums neizlaistu drošības ielāpu, galalietotājam ne vienmēr rūp neviens no tiem. Jāatzīst, ka arī galalietotājam ne vienmēr rūp drošības ielāpi, lai gan vajadzētu. Tādas iniciatīvas kā Project Treble, paplašināts Linux LTS, un Projekta galvenā līnija palīdz novērst tehniskās grūtības, kas saistītas ar šo drošības ielāpu apvienošanu, taču ar to nepietiek, lai OEM konsekventi censtos ieviest atjauninājumus. Izmantojot vispārējo kodola attēlu jeb GKI, SoC pārdevējiem un oriģinālo iekārtu ražotājiem būs vieglāk apvienot Linux kodola ielāpus, lai gan pirmās ierīces ar GKI, visticamāk, redzēsim tikai nākamgad.

Bet interesanta informācija, ko lielākā daļa nezina, ir galvenie oriģinālo iekārtu ražotāji obligāti nodrošināt "vismaz četrus drošības atjauninājumus" gada laikā pēc ierīces palaišanas un 2 gadus pēc atjauninājumiem kopumā. Google nav apstiprinājusi šos konkrētos noteikumus, taču uzņēmums apstiprināja, ka viņi "strādāja, lai izveidotu drošības ielāpus [savu] OEM līgumos". Attiecībā uz Android Enterprise Recommended (AER) ierīcēm ierīcēm ir jāsaņem drošības atjauninājumi 90 dienu laikā pēc izlaišanas 3 gadus. Lai iegūtu, ir nepieciešamas izturīgas AER ierīces 5 gadi drošības atjauninājumiem. Ir paredzēts, ka Android One ierīcēm katru mēnesi 3 gadus ir jāsaņem drošības atjauninājumi.

Kas ir drošības ielāps?

Drošības ielāps ir tikai vēl viens atjauninājums, lai gan parasti tas ir daudz mazāks ar izmaiņām atsevišķos ietvaros un sistēmas moduļos, nevis sistēmas mēroga uzlabojumiem vai izmaiņām. Katru mēnesi Google nodrošina ierīču oriģinālo iekārtu ražotājiem zip failu, kurā ir ielāpi visām lielākajām Android versijām, kuras pašlaik joprojām tiek atbalstītas, kā arī drošības pārbaudes komplekts. Šis testu komplekts palīdz oriģinālo iekārtu ražotājiem atrast nepilnības drošības ielāpos, lai viņi neko nepalaistu garām un ka ielāpi tika atbilstoši apvienoti. Mēnesim ejot, Google var veikt nelielas izmaiņas, piemēram, izlemt, ka viens konkrēts ielāps nav obligāts, jo īpaši, ja rodas problēmas ar tā ieviešanu.

Kā ar pielāgotajiem ROM?

Ja viedtālrunis nesaņem daudz drošības atjauninājumu, tas nebūt nenozīmē, ka labāk ir pārslēgties uz pielāgotu ROM. Lai gan ir taisnība, ka jūs saņemsiet drošības atjauninājumus, kurus citādi nebūtu saņēmis, tā ir tikai puse no stāsta. Atbloķējot sāknēšanas ielādētāju, jūs esat uzņēmīgs pret fiziskiem uzbrukumiem jūsu ierīcei, pat ja programmatūras drošība ir pastiprināta. Tas nenozīmē, ka jums nevajadzētu izmantot pielāgotus ROM, tas nozīmē, ka ir arī citas problēmas, kas saistītas ar to lietošanu, kas neattiecas uz gadījumiem, kad sāknēšanas ielādētājs ir bloķēts. Ja jūs vairāk uztrauc programmatūras puse, jums joprojām ir labāk izmantot pielāgotu ROM, kurā bieži tiek ievietoti drošības ielāpi.

Bet atcerieties, ka mēs runājām par atšķirību starp GGGG-MM-01 un GGGG-MM-05 ielāpiem? -05 ielāpu līmenī ir Linux kodola ielāpi, kā arī piegādātāju ielāpi — ielāpi, kas tiek lietoti slēgtā koda programmatūrai. Tas nozīmē, ka pielāgotie ROM izstrādātāji ir pakļauti jebkuram oriģinālā aprīkojuma ražotājam, kuram viņi izstrādā, un neatkarīgi no tā, vai OEM izlaiž atjauninātus blobus vai ne. Tas ir piemērots ierīcēm, kuras ražotājs joprojām ir atjauninājis, bet ierīcēm, kuras to neatjaunina, lietotos ielāpus var lietot tikai Android sistēmai un Linux kodolam. Tāpēc LineageOS Uzticības saskarne parāda divus drošības ielāpu līmeņus - viens ir platforma, otrs ir pārdevējs. Lai gan pielāgotie ROM neatbalstītām ierīcēm nevar pilnībā integrēt visus jaunākos ielāpus, tie būs drošāki nekā vecāki, novecojušie ROM.