Hlavná linka projektu Google v systéme Android Q pomôže urýchliť aktualizácie zabezpečenia

Počas vývojárskej konferencie Google I/O 2019 Google oznámil Project Mainline – snahu o urýchlenie bezpečnostných aktualizácií prostredníctvom modulov v systéme Android Q.

Fragmentácia verzií Androidu je jednou z najväčších výziev, ktoré musí Google vyriešiť. Zatiaľ čo smartfóny Google Pixel patria medzi najbezpečnejšie smartfóny na trhu vďaka neuveriteľnému úsiliu Pixel a Inžinieri AOSP, mnohé ďalšie smartfóny sú zraniteľné voči zneužitiu kvôli používaniu zastaraných verzií OS alebo zastaranej bezpečnostnej opravy úrovne. Najnovšia správa od Gartner ukazuje, že Android 9 Pie je neuveriteľne bezpečný operačný systém len asi 10% všetkých smartfónov sú na trhu.

Prehľad správy mobilných operačných systémov a zariadení za rok 2019: Porovnanie platforiem. Zdroj: Gartner. Cez: Google.

Google rieši fragmentáciu verzií iniciatívami ako napr Projekt Treble, významná prestavba systému Android, ktorá vedie k oddeleniu komponentov rámca operačného systému Android od komponentov HAL dodávateľa, rozšírené jadro Linuxu LTS

, povinné aktualizácie bezpečnostných záplat na 2 roky a Odporúča sa Android Enterprise. Na Google I/O 2019 spoločnosť oznámila svoju najnovšiu iniciatívu na urýchlenie bezpečnostných aktualizácií: Project Mainline pre Android Q.

Hlavná línia projektu: Aktualizácia modulov systému Android Q prostredníctvom služby Google Play

Za posledných niekoľko mesiacov sme sledovali niečo s názvom „APEX“ v AOSP. APEX, príp Android Pony EXpress, je nový typ balíka, ktorý je podobný súboru APK. Namiesto aplikácie pre Android je však APEX domovom natívnej knižnice alebo knižnice tried, predkompilovaný kód, ktorý môžu volať aplikácie pre Android, vrstvy hardvérovej abstrakce (HAL) a Android Runtime (ART). Podobne ako súbor APK, aj balíky APEX možno používateľom poskytovať prostredníctvom tradičných metód inštalácie balíkov v systéme Android: Obchod Google Play/správca balíkov alebo ADB.

Moduly APEX je možné použiť oveľa skôr v procese zavádzania ako moduly založené na APK a sú tiež podporované dm-verity a Android Verified Boot pre zvýšenie bezpečnosti. Pripojenie obrazov užitočného zaťaženia v balíku APEX vyžaduje ovládač slučky jadra Linuxu, takže zariadenia potrebujú jadro Linuxu verzie 4.9+. Správa balíkov APEX vyžaduje nového démona APEX, ktorý bol predstavený v systéme Android Q. Aj keď je možné, že zariadenia inovujúce na Android Q s jadrom Linuxu 4.4 podporujú APEX (ako Google Pixel 3), výrobcovia OEM musia zlúčiť ďalšie opravy, aby to fungovalo. Projekt Mainline budú väčšinou podporovať iba zariadenia so systémom Android Q.

Distribúcie GNU/Linux už dlho dokážu aktualizovať systémové komponenty nezávisle od úplných aktualizácií systému, no Android na ich aktualizáciu vždy vyžadoval aktualizáciu systému. Google sa rozhodol nedistribuovať tieto balíky pomocou tradičných systémov správy balíkov Linuxu, ako sú dpkg a rpm, pretože nechránia balíky po inštalácii pomocou dm-verity.

Keďže výrobcom zariadení trvá spustenie aktualizácií dlho, mnohé zariadenia môžu mať zastarané systémové komponenty niekoľko dní, týždňov alebo dokonca mesiacov. Distribuovaním týchto komponentov ako balíkov APEX môže Google obísť dlhé čakanie, kým výrobcovia OEM zavedú aktualizáciu systému.

Výhody Project Mainline. Zdroj: Google.

Google však nevykonáva úplnú kontrolu nad všetkými systémovými komponentmi. Spoločnosť spolupracovala so svojimi OEM partnermi na výbere súboru systémových aplikácií (ako APK) a systémových komponentov (ako APEX balíky) na modularizáciu, aby mohli zlepšiť bezpečnosť, súkromie a konzistenciu pre všetkých používateľov so zariadeniami, ktoré sa spúšťajú s Android Q. Hoci Google nezverejnil, ako presne prišli s počiatočnou sadou systémových komponentov, áno nám poskytol zoznam systémových komponentov na zariadeniach so systémom Android Q, ktoré bude možné aktualizovať Google:

  • Bezpečnosť: Mediálne kodeky, komponenty Media Framework, DNS Resolver, Conscrypt
  • Ochrana osobných údajov: Používateľské rozhranie dokumentov, radič povolení, služby ExtServices
  • Dôslednosť: Údaje o časovom pásme, ANGLE (prihlásenie vývojárov), Metaúdaje modulu, Sieťové komponenty, Prihlásenie do prihlasovacieho portálu, Konfigurácia sieťových povolení

Okamžité aktualizácie Conscrypt, bezpečnostnej knižnice Java a mediálnych komponentov, ktoré „zodpovedali takmer 40 % nedávno opravených zraniteľností“, urobia zariadenia so systémom Android bezpečnejšími. Aktualizácie ovládača povolení zlepšia súkromie. Štandardizácia údajov o časovom pásme pomôže udržať zariadenia s Androidom na celom svete na rovnakej stránke vždy, keď sa krajina rozhodne zmeniť svoje časové pásmo. Okrem toho budú vývojári hier profitovať zo štandardizácie UHOL.

Google začína s týmito systémovými komponentmi, ale v budúcich vydaniach systému Android by mohol pridať ďalšie. Z týchto 13 komponentov budú Conscrypt, Timezone data, Media Codecs a Media Framework Components dodané ako APEX balíky. Ďalších 9 komponentov sú systémové súbory APK. Hoci súbory APEX aj APK je možné doručiť prostredníctvom služby Google Play, aktualizuje sa balík APEX bude vyžadovať reštart. Google zatiaľ nezdieľal tok používateľského rozhrania, ako sa to stane, ale keď sa zariadenia začnú spúšťať so systémom Android Q, pravdepodobne sa dozvieme viac informácií o balíkoch Project Mainline a APEX.