Google, возможно, разделит уровни исправлений безопасности Android для более быстрого обновления безопасности

Согласно недавнему коммиту, который мы обнаружили в проекте Android Open Source, Google готовит чтобы различать уровень исправления безопасности поставщика и исправление безопасности Android Framework. уровень. Это позволяет OEM-производителям обновлять Android, ожидая, пока поставщики оборудования предоставят исправления.

В течение долгого времени на заре своего существования Android имел репутацию менее безопасного устройства, чем iOS, из-за подхода Apple к приложениям как «огороженного сада». Мы не собираемся вдаваться в подробности того, заслужена ли эта прошлая репутация, но ясно, что Google добился больших успехов в защите Android от уязвимостей. Компания не только предоставляет новые функции безопасности в последней версии Android, Андроид П, но они также обеспечивают "безопасность корпоративного уровня» в своих последних устройствах благодаря аппаратному модулю безопасности в Google Pixel 2/2 XL. Обеспечение безопасности устройства также требует постоянных обновлений для исправления всех новейших угроз, поэтому Google 

ежемесячные бюллетени по безопасности всем производителям и поставщикам устройств включить исправления против всех известных активных и потенциальных уязвимостей. Теперь похоже, что компания может вносить изменения в систему исправлений безопасности Android, предоставляя способ различать уровень исправления платформы Android и уровень исправления поставщика вместе с загрузчиком, ядром и т.д. либо разделить уровни исправлений безопасности, чтобы OEM-производители могли предоставлять чистые обновления инфраструктуры, либо лучше определить для пользователя, какой уровень исправлений они используют.


Ежемесячные исправления безопасности Android — введение

Мы все знаем, что исправления безопасности важны, особенно после того, как во второй половине прошлого года был обнародован ряд громких уязвимостей. Уязвимость BlueBorne атаковал протокол Bluetooth и был исправлен в Ежемесячные обновления за сентябрь 2017 г., КРАК нацелен на уязвимость Wi-Fi WPA2 и был исправлен декабрь 2017 г., а уязвимости Spectre/Meltdown в основном были исправлены с помощью Патчи за январь 2018 г.. Исправление подобных уязвимостей обычно требует сотрудничества с поставщиком оборудования (например, Broadcom). и Qualcomm), поскольку уязвимость касается аппаратного компонента, такого как чип Wi-Fi или Bluetooth или ПРОЦЕССОР. С другой стороны, в операционной системе Android есть такие проблемы, как эта. атака с наложением всплывающего сообщения для исправления требуется только обновление Android Framework.

Каждый раз, когда Google выпускает ежемесячное обновление безопасности, производители устройств обязаны исправить ВСЕ уязвимости. указано в бюллетене по безопасности за этот месяц, если они хотят заявить, что их устройство защищено до этого ежемесячного обновления. уровень. Каждый месяц существует два уровня исправлений безопасности, которым может соответствовать устройство: уровень исправлений 1-го числа или 5-го числа месяца. Если на устройстве указано, что с 1-го числа месяца на нем установлено обновление (например. 1 апреля, а не 5 апреля), то это означает, что сборка содержит все исправления платформы И поставщиков из выпуска прошлого месяца, а также все исправления платформы из новейшего бюллетеня по безопасности. С другой стороны, если на устройстве указано, что на нем установлено обновление с 5-го числа месяца (5 апреля, для пример), то это означает, что он содержит все исправления платформы и поставщиков за прошлый месяц и за этот месяц. бюллетень. Вот таблица, которая иллюстрирует основную разницу между ежемесячными уровнями исправлений:

Ежемесячный уровень исправлений безопасности

1 апреля

5 апреля

Содержит апрельские исправления Framework

Да

Да

Содержит апрельские патчи поставщиков

Нет

Да

Содержит мартовские патчи Framework

Да

Да

Содержит патчи от мартовских поставщиков

Да

Да

Вы, вероятно, знаете, насколько мрачна ситуация с обновлениями безопасности в экосистеме Android. На диаграмме ниже показано, что Google и Essential предоставляют самые быстрые ежемесячные обновления обновлений безопасности, в то время как другие компании отстают. OEM-производителю могут потребоваться месяцы, чтобы установить на устройство последние исправления, например, OnePlus 5 и OnePlus 5T недавно получил Апрельский патч безопасности когда они ранее были в декабрьском патче.

Статус обновлений безопасности Android по состоянию на февраль 2018 г. Источник: @СекХ13

Проблема с предоставлением обновлений Android Security Patch не обязательно заключается в лени OEM-производителей, поскольку иногда это может быть вне их контроля. Как мы упоминали ранее, ежемесячные обновления обновлений безопасности часто требуют участия аппаратного обеспечения. поставщика, что может вызвать задержки, если поставщик не сможет своевременно выпускать ежемесячные обновления безопасности. бюллетени. Похоже, что для борьбы с этим Google может начать отделять уровень исправлений безопасности Android Framework от уровня исправлений поставщика. (и, возможно, на уровне загрузчика и ядра), чтобы в будущем OEM-производители могли обеспечить безопасность исключительно платформы Android. обновления.


Более быстрые обновления обновлений безопасности Android для устранения уязвимостей платформы?

новый совершить В Android Open Source Project (AOSP) появился геррит, намекающий на «заплатку безопасности поставщика». prop", который будет определяться в файлах Android.mk всякий раз, когда создается новая сборка устройства. созданный. Это свойство будет называться "ro.vendor.build.security_patch" и будет аналогично "ro.build.version.security_patch", который в настоящее время существует на всех устройствах Android, чтобы указать ежемесячный уровень исправлений безопасности Android.

Вместо этого это новое свойство сообщит нам "VENDOR_SECURITY_PATCH" уровень устройства, который может соответствовать или не соответствовать уровню исправления безопасности Android Framework. Например, на устройстве могут использоваться последние исправления платформы от апреля 2018 года, а также исправления поставщиков от февраля 2018 года. Различая два уровня исправлений безопасности, вполне возможно, что Google намерен позволить OEM-производителям поставлять последние исправления безопасности ОС Android, хотя поставщики не предоставили обновленные исправления для этого ежемесячного исправления. уровень.

Альтернативно, Google может просто отображать минимум одного из двух уровней исправлений (наряду, возможно, с уровнями исправлений загрузчика и ядра), чтобы более точно показать пользователю, какое исправление безопасности установлено на его устройстве. У нас пока нет подтверждения намерений, стоящих за этим патчем, но мы надеемся вскоре узнать больше.

Google Pixel 2 XL на Android P, предварительная версия 1 для разработчиков с исправлениями безопасности от марта 2018 г.

По крайней мере, это будет полезно для тех из нас, кто Проект ТреблОбщие изображения системы (GSI) и другие пользовательские ПЗУ на основе AOSP, поскольку часто пользовательские ПЗУ предоставляют только обновления инфраструктуры без исправлений всех поставщиков, загрузчика и исправлений ядра, которые указаны в ежемесячном бюллетене по безопасности, поэтому несоответствие вызывает путаницу среди пользователей, поскольку они думают, что они используют последние исправления, хотя на самом деле их устройство лишь частично исправлено с учетом последних ежемесячных обновлений безопасности. бюллетень.