Гоогле вероватно дели нивое безбедносних закрпа за Андроид ради бржих безбедносних ажурирања

Дуго времена у својој раној историји, Андроид је имао репутацију да је мање безбедан од иОС-а због Аппле-овог приступа апликацијама „башта са зидовима“. Да ли је та прошла репутација заслужена или не, није нешто у шта ћемо се бавити, али је јасно да је Гоогле направио велике кораке у обезбеђивању Андроид-а од рањивости. Не само да компанија пружа нове безбедносне функције у најновијој верзији Андроид-а, Андроид П, али такође пружају "безбедност на нивоу предузећа" у својим најновијим уређајима захваљујући хардверском безбедносном модулу у Гоогле Пикел 2/2 КСЛ. Одржавање безбедности уређаја такође захтева стална ажурирања како би се закрпиле све најновије претње, због чега је Гоогле 

месечни безбедносни билтени за све произвођаче и продавце уређаја да уграде закрпе против свих познатих активних и потенцијалних рањивости. Сада се чини да компанија можда прави промене у систему Андроид безбедносних закрпа пружајући начин да разликовати ниво закрпе за Андроид оквир и ниво закрпе добављача заједно са боотлоадер-ом, кернелом итд. да или подели нивое безбедносних закрпа тако да ОЕМ-ови могу да обезбеде чиста ажурирања оквира или боље идентификују кориснику који ниво закрпе користе.

---

Месечне безбедносне закрпе за Андроид - пример

Сви знамо да су безбедносне закрпе важне, посебно након што је низ рањивости високог профила објављен у јавности у другој половини прошле године. Тхе БлуеБорне рањивост напао Блуетоотх протокол и био закрпљен у Месечне закрпе за септембар 2017, КРАЦК циља на слабост Ви-Фи ВПА2 и закрпљен је децембра 2017, а рањивости Спецтре/Мелтдовн су углавном исправљене помоћу Закрпе за јануар 2018. Закрпе рањивости попут ових обично захтевају сарадњу са продавцем хардвера (као што је Броадцом и Куалцомм) јер се рањивост односи на хардверску компоненту као што је Ви-Фи или Блуетоотх чип или ПРОЦЕСОРИ. С друге стране, постоје проблеми у оперативном систему Андроид као што је овај напад преклапања тост порука који захтевају само ажурирање Андроид Фрамеворк-а да би се поправили.

Кад год Гоогле објави месечну безбедносну закрпу, од произвођача уређаја се тражи да поправе СВЕ рањивости наведено у безбедносном билтену за тај месец ако желе да кажу да је њихов уређај безбедан до те месечне закрпе ниво. Сваког месеца постоје два нивоа безбедносних закрпа које уређај може да испуни: ниво закрпе 1. у месецу или 5. у месецу. Ако уређај каже да покреће ниво закрпе од 1. у месецу (нпр. 1. априла, а не 5. априла) онда то значи да верзија садржи све закрпе за оквир И добављаче из прошломесечног издања плус све закрпе оквира из најновијег безбедносног билтена. С друге стране, ако уређај каже да покреће ниво закрпе од 5. у месецу (5. априла, за пример), онда то значи да садржи све закрпе оквира и добављача од прошлог и овог месеца билтен. Ево табеле која илуструје основну разлику између нивоа месечних закрпа:

Вероватно вам је позната ситуација са безбедносном закрпом у Андроид екосистему. Графикон у наставку показује да Гоогле и Ессентиал пружају најбржа месечна ажурирања безбедносних закрпа док друге компаније заостају. ОЕМ-у могу проћи месеци да донесе најновије закрпе на уређај, на пример како ОнеПлус 5 и ОнеПлус 5Т недавно примио Априлска безбедносна закрпа када су претходно били на децембарској закрпи.

Статус безбедносне закрпе за Андроид од фебруара 2018. Извор: @СецКс13

Проблем са обезбеђивањем ажурирања Андроид безбедносне закрпе није нужно у томе што су ОЕМ-ови лењи, јер понекад то може бити ван њихове контроле. Као што смо раније споменули, месечна ажурирања безбедносних закрпа често захтевају сарадњу хардвера добављача, што може да изазове кашњења ако добављач није у стању да прати месечну безбедносну закрпу билтени. Да би се борио против овога, изгледа да би Гоогле могао почети да одваја ниво безбедносне закрпе за Андроид Фрамеворк од нивоа закрпе добављача (и вероватно ниво покретача и кернела) тако да би у будућности ОЕМ-ови могли да обезбеде искључиво сигурност оквира за Андроид ажурирања.

---

Бржа ажурирања безбедносних закрпа за Андроид за рањивости оквира?

А ново урадити се појавио у Андроид Опен Соурце Пројецт-у (АОСП) геррит који наговештава „безбедносну закрпу добављача проп" који би био дефинисан у Андроид.мк датотекама кад год се ради о новој верзији уређаја створио. Ово својство ће се звати "ro.vendor.build.security_patch" и биће аналогно "ro.build.version.security_patch" који тренутно постоји на свим Андроид уређајима да би се одредио месечни ниво безбедносне закрпе за Андроид.

Ова нова некретнина ће нам уместо тога рећи „VENDOR_SECURITY_PATCH" ниво уређаја, који може, али не мора да одговара нивоу безбедносне закрпе за Андроид Фрамеворк. На пример, уређај може да ради на најновијим закрпама оквира из априла 2018. заједно са закрпама добављача из фебруара 2018. Разликовањем између два нивоа безбедносне закрпе, могуће је да Гоогле намерава да дозволи ОЕМ-има да испоруче најновије безбедносне закрпе за Андроид ОС иако добављачи нису обезбедили ажуриране закрпе за ту месечну закрпу ниво.

Алтернативно, Гоогле може само приказати минимум од два нивоа закрпе (уз могуће нивое покретачког програма и нивоа закрпе кернела) како би се прецизније показало кориснику на којој је безбедносној закрпи њихов уређај. Још увек немамо потврду о намери која стоји иза ове закрпе, али се надамо да ћемо ускоро сазнати више.

У најмању руку, ово ће бити од помоћи онима међу нама Пројецт ТреблеГенеричке слике система (ГСИ) и други прилагођени РОМ-ови засновани на АОСП-у јер често прилагођени РОМ-ови пружају само ажурирања оквира без закрпања целог добављача, боотлоадер и закрпе кернела које су наведене у месечном безбедносном билтену, тако да неподударање изазива конфузију међу корисницима док мисле да користе најновије закрпе док је у стварности њихов уређај само делимично закрпљен у односу на најновију месечну безбедност билтен.