De acordo com um commit recente que descobrimos no Android Open Source Project, o Google está preparando para distinguir entre o nível do patch de segurança do fornecedor e o patch de segurança do Android Framework nível. Isso permite que os OEMs mantenham o Android atualizado enquanto aguardam que os fornecedores de hardware forneçam correções.
Por muito tempo em sua história inicial, o Android teve a reputação de ser menos seguro que o iOS devido à abordagem de “jardim murado” da Apple para os aplicativos. Se essa reputação passada é merecida ou não, não é algo em que vamos nos aprofundar, mas está claro que o Google fez grandes avanços na proteção do Android contra vulnerabilidades. A empresa não está apenas fornecendo novos recursos de segurança na versão mais recente do Android, AndroidP, mas eles também estão fornecendo "segurança de nível empresarial"em seus dispositivos mais recentes, graças a um módulo de segurança de hardware no Google Pixel 2/2 XL. Manter um dispositivo seguro também requer atualizações contínuas para corrigir todas as ameaças mais recentes, e é por isso que o Google
boletins mensais de segurança para todos os fabricantes e fornecedores de dispositivos incorporarem patches contra todas as vulnerabilidades ativas e potenciais conhecidas. Agora, parece que a empresa pode estar fazendo alterações no sistema Android Security Patch, fornecendo uma maneira de distinguir entre o nível de patch da estrutura Android e o nível de patch do fornecedor junto com o bootloader, kernel, etc. para dividir os níveis de patch de segurança para que os OEMs possam fornecer atualizações puras de estrutura ou identificar melhor ao usuário qual nível de patch eles estão executando.Patches mensais de segurança do Android – uma cartilha
Todos sabemos que os patches de segurança são importantes, especialmente depois que uma série de vulnerabilidades de alto perfil foram tornadas públicas no segundo semestre do ano passado. O Vulnerabilidade BlueBorne atacou o protocolo Bluetooth e foi corrigido no Patches mensais de setembro de 2017, KRACK visa um ponto fraco no Wi-Fi WPA2 e foi corrigido em Dezembro de 2017, e as vulnerabilidades Spectre/Meltdown foram corrigidas principalmente com o Patches de janeiro de 2018. A correção de vulnerabilidades como essas normalmente requer cooperação com um fornecedor de hardware (como Broadcom e Qualcomm) porque a vulnerabilidade diz respeito a um componente de hardware, como o chip Wi-Fi ou Bluetooth ou o CPU. Por outro lado, existem problemas no sistema operacional Android como este ataque de sobreposição de mensagem brinde que requerem apenas uma atualização do Android Framework para serem corrigidos.
Sempre que o Google lança um patch de segurança mensal, os fabricantes de dispositivos são obrigados a corrigir TODAS as vulnerabilidades descrito no boletim de segurança daquele mês se quiserem dizer que seu dispositivo está seguro até aquele patch mensal nível. A cada mês, há dois níveis de patch de segurança que um dispositivo pode atender: o nível de patch no primeiro dia do mês ou no dia 5 do mês. Se um dispositivo disser que está executando um nível de patch a partir do primeiro dia do mês (por exemplo, 1º de abril em vez de 5 de abril), isso significa que a compilação contém todos os patches da estrutura E do fornecedor do lançamento do mês passado, além de todos os patches da estrutura do boletim de segurança mais recente. Por outro lado, se um dispositivo disser que está executando um nível de patch a partir do dia 5 do mês (5 de abril, por exemplo), isso significa que ele contém todos os patches de estrutura e de fornecedor do mês passado e deste mês boletim. Aqui está uma tabela que exemplifica a diferença básica entre os níveis de patch mensais:
Nível de patch de segurança mensal |
1º de abril |
5 de abril |
---|---|---|
Contém patches da estrutura de abril |
Sim |
Sim |
Contém patches de fornecedor de abril |
Não |
Sim |
Contém patches da estrutura de março |
Sim |
Sim |
Contém patches de fornecedores de março |
Sim |
Sim |
Você provavelmente está familiarizado com o quão sombria é a situação do patch de segurança no ecossistema Android. O gráfico abaixo mostra que o Google e o Essential fornecem as atualizações mensais de patches de segurança mais rápidas, enquanto outras empresas ficam para trás. Pode levar meses para um OEM trazer os patches mais recentes para um dispositivo, como o modo como o OnePlus 5 e OnePlus 5T recebeu recentemente o Patch de segurança de abril quando eles estavam anteriormente no patch de dezembro.
Status do patch de segurança do Android em fevereiro de 2018. Fonte: @SecX13
O problema de fornecer atualizações do patch de segurança do Android não é necessariamente que os OEMs sejam preguiçosos, pois às vezes isso pode estar fora de seu controle. Como mencionamos anteriormente, as atualizações mensais de patches de segurança geralmente exigem a cooperação de um fornecedor de hardware. fornecedor, o que pode causar atrasos se o fornecedor não conseguir acompanhar o patch de segurança mensal boletins. Para combater isso, parece que o Google pode começar a separar o nível do patch de segurança do Android Framework do nível do patch do fornecedor (e possivelmente o bootloader e o nível do kernel) para que, no futuro, os OEMs possam fornecer segurança de estrutura puramente Android atualizações.
Atualizações mais rápidas do patch de segurança do Android para vulnerabilidades do Framework?
Um novo comprometer-se apareceu no gerrit do Android Open Source Project (AOSP) que sugere um "patch de segurança do fornecedor prop" que seria definido nos arquivos Android.mk sempre que uma nova compilação para um dispositivo estivesse sendo criada. Esta propriedade será chamada "ro.vendor.build.security_patch
"e será análogo a"ro.build.version.security_patch
" que existe atualmente em todos os dispositivos Android para especificar o nível mensal do patch de segurança do Android.
Em vez disso, esta nova propriedade nos dirá o "VENDOR_SECURITY_PATCH
" do dispositivo, que pode ou não corresponder ao nível do patch de segurança do Android Framework. Por exemplo, um dispositivo pode estar executando os patches de estrutura mais recentes de abril de 2018, juntamente com os patches do fornecedor de fevereiro de 2018. Ao distinguir entre os dois níveis de patch de segurança, é possível que o Google pretenda permitir que os OEMs enviem o patches de segurança mais recentes do sistema operacional Android, mesmo que os fornecedores não tenham fornecido patches atualizados para esse patch mensal nível.
alternativamente, Google pode exibir apenas o mínimo dos dois níveis de patch (juntamente com os níveis de patch do bootloader e do kernel) para mostrar com mais precisão ao usuário em qual patch de segurança seu dispositivo está. Ainda não temos confirmação da intenção deste patch, mas esperamos descobrir mais em breve.
No mínimo, isto será útil para aqueles de nós que Projeto AgudosImagens genéricas do sistema (GSIs) e outras ROMs personalizadas baseadas em AOSP, pois muitas vezes as ROMs personalizadas fornecem apenas atualizações de estrutura sem corrigir todo o fornecedor, bootloader e patches de kernel especificados em um boletim de segurança mensal, portanto, a incompatibilidade causa confusão entre os usuários, pois eles pensam que estão executando os patches mais recentes quando, na realidade, seu dispositivo está apenas parcialmente corrigido contra a segurança mensal mais recente boletim.