Podľa uniknutého dokumentu, ktorý preskúmala spoločnosť XDA, sa v programe odporúčané Android Enterprise môžu objaviť uvoľnené požiadavky na aktualizáciu zabezpečenia.
Zatiaľ čo Android je celkovo dominantným operačným systémom smartfónov podľa údajov z IDC, Apple iOS je preferovaný operačný systém pre väčšinu podnikov. Je ľahké pochopiť prečo: Apple aktualizuje svoje iOS zariadenia vo všeobecnosti oveľa dlhšie a dôslednejšie ako väčšina výrobcov zariadení Android aktualizovať svoje smartfóny, telefóny iPhone sa jednoducho konfigurujú a spravujú a existuje oveľa menej SKU na podporu, ak si spoločnosť vyberie Apple. Existujú však aj dôvody, prečo si podniky vybrať zariadenie so systémom Android, vrátane znížených nákladov a väčšej flexibility hardvéru. Aby bol Android na pracovisku ešte lákavejší, spoločnosť Google spustila začiatkom roka 2015 „Android for Work“ (neskôr premenovaný na „Android Enterprise“ koncom roka 2016). Potom začiatkom roka 2018 spoločnosť Google spustila Program Android Enterprise Recommended (AER).
Dokumenty odkryté vývojárom systému Android @deletescape ktoré skontrolovali XDA-Developers odhalili, že Google plánuje uvoľniť požiadavky na bezpečnostné aktualizácie pre zariadenia odporúčané Android Enterprise. Namiesto toho Google presadzuje, aby predajcovia boli transparentnejší v tom, ako nakladajú s bezpečnostnými aktualizáciami. Podľa @deletescape boli tieto dokumenty zdieľané s dodávateľmi za posledných 15 dní. Nemôžeme teda zaručiť, že tieto navrhované zmeny v odporúčaní Android Enterprise sa presadia do konečného zoznamu požiadaviek, môžeme aspoň potvrdiť, že Google o nich uvažoval len nedávno zmeny.
V súčasnosti existuje 170 rôznych zariadení so systémom Android ktoré sú odporúčané pre Android Enterprise. HMD Global, Sony, Motorola, OPPO, a samozrejme, Google, ponúkajú zariadenia, ktoré sú AER. Dokonca aj OnePlus zvažuje certifikáciu svojich zariadení v rámci programu. Známe spotrebiteľské značky smartfónov však nie sú jedinými spoločnosťami, ktoré predávajú zariadenia odporúčané pre Android Enterprise. Odolné smartfóny od spoločností ako Zebra, Honeywell, Sonim a ďalšie sú zahrnuté do programu a teraz aj dopravcov môže predávať zariadenia AER priamo podnikom za predpokladu, že rýchlo schvália vydania údržby zabezpečenia.
Postup poskytovania zariadení v systéme Android 10. Zdroj: Jason Bayton
The zoznam požiadaviek potrebný na vstup do AER nie je taký rozsiahly – vzhľadom na nízke základné hardvérové požiadavky by sa na zoznam mohlo dostať oveľa viac zariadení s Androidom. Dokonca ani softvérové požiadavky AER nevyžadujú od dodávateľov veľa zmien, ako je načrtnuté v niekoľkých interných dokumentoch Google. Jeden z dokumentov načrtáva, ako musia predajcovia navrhovať odznaky ikon pre aplikácie v pracovnom profile, pridať vyhradenú kartu pre aplikácie pracovného profilu v spúšťač, samostatné ciele zdieľania pre aplikácie v osobnom a pracovnom profile, predbežné načítanie určitých aplikácií Google a správa údajov naprieč profilmi komunikácia. Ďalší dokument načrtáva požiadavky na používateľské prostredie pre kartu spúšťača pracovného profilu, rýchle nastavenie pracovného profilu dlaždice, dialógy pracovného profilu, vzdelávacie správy spúšťača, prepínanie kontextu a ďalší návrh systému prvkov. Tieto požiadavky sú zamerané na podporu minimálneho štandardu prijateľného hardvéru, ako aj konzistencie používateľského rozhrania softvéru medzi zariadeniami odporúčanými pre Android Enterprise.
Zdá sa však, že požiadavka, aby zariadenia rýchlo dostávali aktualizácie bezpečnostných záplat po každom mesiaci Android Security Bulletin (ASB) sa ukázalo ako príliš vysoká prekážka pre mnohých predajcov.
Odporúča sa Google Pushes for Update Transparency for Android Enterprise
Android developer @deletescape, ktorý nedávno zdieľal uniknutý koncept Dokument definície kompatibility od spoločnosti Google pre Android 11, získala uniknutý návrh nových odporúčaných požiadaviek Android Enterprise pre zariadenia so systémom Android 11. Pod "Zabezpečenie zariadenia“, ktorú sme reprodukovali nižšie, spoločnosť Google navrhuje odstránenie niekoľkých požiadaviek pre program AER. Podľa týchto nových navrhovaných pravidiel už nebude zaručené, že zariadenia AER dostanú aktualizácie bezpečnostných opráv do 90 dní od ASB. Je zaujímavé, že jeden z riadkov v grafe naznačuje, že Google v skutočnosti sprísnil túto požiadavku z 90 dní na 30 dní s prechodom na Android 10, ale Google stále neaktualizoval verejný zoznam požiadaviek odrážať túto zmenu. Podľa navrhovaných zmien sa však táto požiadavka už nebude vzťahovať na zariadenia odporúčané pre Android Enterprise so systémom Android 11. Okrem toho už predajcovia nebudú musieť poskytovať 3 roky pravidelných bezpečnostných aktualizácií pre zariadenia AER. Stále však budú musieť poskytovať aktualizácie „Emergency Security Maintenance Release“ (ESMR), čo pravdepodobne znamená, že musia vydať iba aktualizácie obsahujúce opravy pre kritickú bezpečnosť zraniteľnosti.
Android 10 verzus Android 11 – Odporúčané bezpečnostné požiadavky zariadenia pre Android Enterprise
Kategória |
Sériové číslo |
MUSÍ / MÁJ |
Atribút a implementácia |
Komentáre |
Q (Android 10) |
R (Android 11) |
|||
Zabezpečenie zariadenia |
1 |
SMIEŤ |
Prevádzkujte program odmeňovania OEM za zraniteľnosť (VRP) |
Prevádzkujte program odmeňovania OEM za zraniteľnosť (VRP) |
2 |
SMIEŤ |
Podpora StrongBoxu |
Podpora StrongBoxu |
|
3 |
SMIEŤ |
Hardvérová podpora úložiska kľúčov |
Hardvérová podpora úložiska kľúčov |
|
4 |
SMIEŤ |
Podpora overenia ID zariadenia |
Podpora overenia ID zariadenia |
|
5 |
SMIEŤ |
Podpora kľúčovej atestácie |
Podpora kľúčovej atestácie |
|
6 |
30-dňové bezpečnostné aktualizácie |
Požiadavka bola odstránená |
Nahradené požiadavkou na transparentnosť zabezpečenia |
|
7 |
MUSIEŤ |
3-ročná podpora pre vydanie núdzovej bezpečnostnej údržby (ESMR) |
3-ročná podpora pre vydanie núdzovej bezpečnostnej údržby (ESMR) |
Nahradené požiadavkou na transparentnosť zabezpečenia |
8 |
Šifrovanie založené na súboroch – predvolene zapnuté. Používa implementáciu AOSP. |
Požiadavka bola odstránená |
Toto je požiadavka GMS pre všetky zariadenia |
|
9 |
90-dňové bezpečnostné aktualizácie |
Požiadavka bola odstránená |
Nahradené požiadavkou na transparentnosť zabezpečenia |
|
10 |
3-ročná podpora bezpečnostných aktualizácií (máj menej ako 3. rok ESMR) |
Požiadavka bola odstránená |
Nahradené požiadavkou na transparentnosť zabezpečenia |
|
11 |
Zverejnite najnovšiu úroveň opravy zabezpečenia |
Požiadavka bola odstránená |
Nahradené požiadavkou na transparentnosť zabezpečenia |
čítaj viac
Ako je uvedené v tabuľke, Google navrhuje nahradiť mnohé z týchto požiadaviek novými požiadavkami na „transparentnosť“. Google skutočne navrhuje pridanie novej sekcie s názvom „Transparentnosť aktualizácií zabezpečenia/OS." Nové požiadavky podrobne opisujú, ako budú dodávatelia povinní zverejňovať informácie, ako je dátum konca životnosti vydaní údržby zabezpečenia, najnovšia bezpečnostná záplata k dispozícii, ako často bude zariadenie dostávať aktualizácie, aké opravy obsahuje každá aktualizácia, dodanie a plánované aktualizácie softvéru zariadenia a ďalšie. Je zaujímavé, že Google tiež vyžaduje, aby zariadenia so systémom Android 11 prešli certifikačným testovaním Aliancia ioXt predtým, než sa stanú odporúčanými pre Android Enterprise. ioXt Alliance je aliancia spoločností, ktorých cieľom je zlepšiť bezpečnosť produktov internetu vecí. Medzi jeho členov patria Amazon, Facebook, Google, NXP a ďalšie. Google hovorí, že táto certifikácia prispeje k transparentnosti, pravdepodobne preto, že dá podniky nezávislú metriku bezpečnosti konkrétneho zariadenia, a nie iba metriku spoločnosti Google uistenie.
Požiadavky na transparentnosť (nové) zabezpečenia/aktualizácií OS pre Android Enterprise Odporúča sa
Kategória |
Sériové číslo |
MUSÍ / MÁJ |
Atribút a implementácia |
Komentáre |
Q (Android 10) |
R (Android 11) |
|||
Transparentnosť aktualizácií zabezpečenia/OS |
1 |
MUSIEŤ |
MUSÍ zverejniť nasledujúce informácie o aktualizáciách na webovej stránke OEM – dátum ukončenia podpory SMR (posledný dátum, kedy zariadenie dostane SMR) – najnovšie dostupná bezpečnostná záplata- Frekvencia aktualizácií, ktoré zariadenie dostane- Opravy obsiahnuté v bezpečnostnej záplate, vrátane všetkých špecifických OEM opravy |
Zmena požiadavky z podpory SMR na transparentnosť SMR/záplaty/aktualizácie |
2 |
MUSIEŤ |
MUSÍ zverejniť nasledujúce informácie o operačnom systéme na webovej lokalite OEM – OS, s ktorým sa zariadenie dodáva – Verzia aktuálneho hlavného operačného systému – Aktualizácia všetkých hlavných verzií operačného systému, ktoré zariadenie dostane |
Zmena požiadavky z podpory na transparentnosť napr.: Pixel 3 – dodávaná verzia – Android 9 – aktuálna verzia – Android 10 – očakávaná hlavná verzia – Android 11 |
|
3 |
MUSIEŤ |
Odošlite zariadenie na certifikáciu IoXT |
Skóre IoXT prispieva k transparentnosti |
čítaj viac
Nie je žiadnym tajomstvom, že predajcovia majú problém držať krok s vydávaním mesačných aktualizácií bezpečnostných záplat. Existuje mnoho, mnoho dôvodov, prečo je to tak: oneskorenie certifikácie operátora, čakanie na opravy z čipovej sady a iné dodávateľov, ťažkosti s aplikovaním opráv na výrazne modifikované zostavy rámca Android a jadrá Linuxu mimo stromu a viac. Niektorí používatelia systému Android si dokonca všimli, ako niektorí predajcovia nespĺňajú požiadavky AER. Zatiaľ čo vývojové úsilie Google a licenčné zmluvy áno pomohol zlepšiť Ako rýchlo sa bezpečnostné aktualizácie zavádzajú pre mnohé zariadenia, zjavne nedokázali splniť aktuálne požiadavky na bezpečnostné opravy programu Android Enterprise Recommended. Uvoľnenie týchto požiadaviek v prospech väčšej transparentnosti prispeje k väčšej dostupnosti programu dodávateľom a tiež poskytujú podnikom väčšiu dôveru v konkrétne zariadenie, ktoré si vyberú pracovníkov.
Navrhované uvoľnenie aktualizácií bezpečnostných opráv nie je samozrejme jedinou zmenou, ktorá by mohla prísť v programe Android Enterprise Recommended pre Android 11. Google tiež plánuje zvýšiť minimálne hardvérové požiadavky z 2 GB RAM na 3 GB RAM, sprísniť požiadavky na školenia a implementovať novú sadu požiadaviek na pracovný profil UX. Väčšina z týchto zmien však neovplyvní znalostných pracovníkov. Android v podnikoch sa od svojich začiatkov značne rozrástol. Ak máte záujem dozvedieť sa viac o jeho histórii, odporúčam prečítať tento skvelý článok od Jasona Baytona.