Google Project Mainline operētājsistēmā Android Q palīdzēs paātrināt drošības atjauninājumus

Google I/O 2019 izstrādātāju konferences laikā Google paziņoja par Project Mainline — centienus paātrināt drošības atjauninājumus, izmantojot Android Q moduļus.

Android versiju sadrumstalotība ir viena no lielākajām problēmām, kas Google jāatrisina. Lai gan Google Pixel viedtālruņi ir vieni no drošākajiem viedtālruņiem tirgū, pateicoties neticamajiem Pixel un AOSP inženieri, daudzi citi viedtālruņi ir neaizsargāti pret ļaunprātīgu izmantošanu, jo darbojas novecojušas OS versijas vai novecojis drošības ielāps. līmeņi. Jaunākais Gartner ziņojums liecina, ka Android 9 Pie joprojām ir neticami droša OS tikai aptuveni 10% no visiem viedtālruņiem ir izlaidumā.

Pārskats par 2019. gada mobilo operētājsistēmu un ierīču drošību: platformu salīdzinājums. Avots: Gartner. Caur: Google.

Google cīnās ar versiju sadrumstalotību ar tādām iniciatīvām kā Projekts Treble, būtiska Android pārstrukturēšana, kuras rezultātā Android OS ietvara komponenti ir nodalīti no pārdevēja HAL komponentiem, paplašināts Linux kodols LTS

, obligātie drošības ielāpu atjauninājumi uz 2 gadiem, un Ieteicams Android Enterprise. Google I/O 2019 ietvaros uzņēmums paziņoja par savu jaunāko iniciatīvu drošības atjauninājumu paātrināšanai: Project Mainline operētājsistēmai Android Q.

Projekta galvenā līnija: Android Q sistēmas moduļu atjaunināšana, izmantojot pakalpojumu Google Play

Pēdējos vairākus mēnešus mēs esam izsekojuši kaut ko, ko sauc par "APEX"AOSP. APEX vai Android Pony EXpress, ir jauns pakotnes veids, kas ir līdzīgs APK. Tomēr Android lietojumprogrammas vietā APEX ir vietējā vai klases bibliotēka, iepriekš kompilēts kods, ko var izsaukt Android lietotnes, aparatūras abstrakcijas slāņi (HAL) un Android Izpildes laiks (ART). Tāpat kā APK, arī APEX pakotnes var nodrošināt lietotājiem, izmantojot tradicionālās pakotņu instalēšanas metodes operētājsistēmā Android: Google Play veikalu/pakešu pārvaldnieku vai ADB.

APEX moduļus var izmantot daudz agrāk sāknēšanas procesā nekā uz APK balstītus moduļus, un tie ir arī nodrošināti ar dm-verity un Android Verified Boot, lai palielinātu drošību. Lai uzstādītu lietderīgās slodzes attēlus APEX pakotnē, ir nepieciešams Linux kodola cilpas draiveris, tāpēc ierīcēm ir nepieciešama Linux kodola versija 4.9+. APEX pakotņu pārvaldībai ir nepieciešams jaunais APEX dēmons, kas ieviests ar Android Q. Lai gan ierīces, kas jaunina uz Android Q ar Linux kodolu 4.4, var atbalstīt APEX (piemēram, Google Pixel 3), oriģinālo iekārtu ražotājiem ir jāapvieno papildu ielāpi, lai tas darbotos. Lielākoties Project Mainline atbalstīs tikai ierīces, kas tiek palaistas ar Android Q.

GNU/Linux izplatījumi jau sen ir spējuši atjaunināt sistēmas komponentus neatkarīgi no pilniem sistēmas atjauninājumiem, taču Android vienmēr ir prasījis sistēmas atjauninājumu, lai tos atjauninātu. Google izvēlējās neizplatīt šīs pakotnes, izmantojot tradicionālās Linux pakotņu pārvaldības sistēmas, piemēram, dpkg un rpm, jo ​​tās neaizsargā pakotnes pēc instalēšanas, izmantojot dm-verity.

Tā kā ierīču ražotājiem ir nepieciešams ilgs laiks, lai ieviestu atjauninājumus, daudzām ierīcēm var būt novecojuši sistēmas komponenti vairākas dienas, nedēļas vai pat mēnešus. Izplatot šos komponentus kā APEX pakotnes, Google var apiet ilgo gaidīšanu, līdz oriģinālo iekārtu ražotāji izlaiž sistēmas atjauninājumu.

Project Mainline priekšrocības. Avots: Google.

Tomēr Google pilnībā nekontrolē visus sistēmas komponentus. Uzņēmums ir strādājis ar saviem OEM partneriem, lai atlasītu sistēmas lietotņu kopu (kā APK) un sistēmas komponentus (kā APEX pakotnes), lai tās varētu modificēt, lai tās varētu uzlabot drošību, privātumu un konsekvenci visiem lietotājiem ar ierīcēm, kuras tiek palaists ar Android Q. Lai gan Google nav atklājis, kā tieši viņi nāca klajā ar sākotnējo sistēmas komponentu komplektu, viņi to ir izdarījuši sniedza mums to sistēmas komponentu sarakstu ierīcēs, kurās tiek palaists operētājsistēmā Android Q un kurus varēs atjaunināt līdz Google:

  • Drošība: multivides kodeki, multivides ietvara komponenti, DNS atrisinātājs, šifrēšana
  • Privātums: Dokumentu lietotāja saskarne, atļauju kontrolieris, ExtServices
  • Konsekvence: laika joslas dati, ANGLE (izstrādātāju izvēle), moduļa metadati, tīkla komponenti, pieteikšanās portālā, tīkla atļauju konfigurācija

Tūlītēji atjauninājumi Conscrypt, Java drošības bibliotēkai un multivides komponentiem, kas "veidoja gandrīz 40% no nesen izlabotajām ievainojamībām", padarīs Android ierīces drošākas. Atļauju kontroliera atjauninājumi uzlabos privātumu. Laika joslas datu standartizēšana palīdzēs saglabāt Android ierīces visā pasaulē vienā lapā ikreiz, kad valsts nolemj mainīt savu laika joslu. Turklāt spēļu izstrādātāji gūs labumu no standartizācijas LEŅĶIS.

Google sāk darbu ar šiem sistēmas komponentiem, taču turpmākajās Android versijās tas varētu pievienot vairāk. No šiem 13 komponentiem Conscrypt, Timezone data, Media Codecs un Media Framework komponenti tiks piegādāti kā APEX pakotnes. Pārējie 9 komponenti ir sistēmas APK. Lai gan gan APEX, gan APK failus var piegādāt, izmantojot pakalpojumu Google Play, ir jāatjaunina APEX pakotne būs nepieciešama atsāknēšana. Google vēl nav kopīgojis lietotāja interfeisa plūsmu, lai uzzinātu, kā tas notiks, taču, tiklīdz ierīces sāks palaist ar Android Q, mēs, iespējams, uzzināsim vairāk informācijas par Project Mainline un APEX pakotnēm.