Како функционишу месечна ажурирања безбедносних закрпа за Андроид

Да ли сте се икада запитали како функционишу месечне безбедносне закрпе за Андроид? Не чудите се више, јер имамо само почетни језик за вас да разумете цео процес.

Гоогле објављује месечне безбедносне билтене од августа 2015. Ови безбедносни билтени садрже листу откривених безбедносних рањивости које су исправљене и утичу на Андроид оквир, Линук кернел и друге компоненте произвођача затвореног кода. Сваку рањивост у билтенима или је открио Гугл или обелодањени компанији. Свака наведена рањивост има број уобичајених рањивости и изложености (ЦВЕ), заједно са повезаним референце, тип рањивости, процена озбиљности и верзија АОСП на коју се утиче (ако применљиво). Али упркос наизглед поједностављеном процесу који стоји иза тога како функционишу безбедносне закрпе за Андроид, заправо постоји донекле компликовано напред-назад иза кулиса које омогућава да ваш телефон буде месечно или (надамо се) скоро месечно закрпе.

Шта заправо чини безбедносну закрпу?

Можда сте приметили да их сваког месеца има 

два нивои безбедносних закрпа. Формат ових закрпа је или ГГГГ-ММ-01 или ГГГГ-ММ-05. Док ГГГГ и ММ очигледно представљају годину и месец, „01“ и „05“ збуњујуће не означавају дан у месецу у коме је тај ниво безбедносне закрпе објављен. Уместо тога, 01 и 05 су заправо два различита нивоа безбедносне закрпе која се објављују истог дана сваког месеца – ниво закрпе са 01 на крају садржи исправке за Андроид оквир, али не закрпе добављача или упстреам закрпе Линук кернела. Закрпе произвођача, као што смо горе дефинисали, односе се на поправке компоненти затвореног кода као што су драјвери за Ви-Фи и Блуетоотх. Ниво безбедносне закрпе означен са -05 садржи ове закрпе добављача, као и закрпе у Линук кернелу. Погледајте табелу испод која може помоћи у разумевању.

Месечни ниво безбедносне закрпе

2019-04-01

2019-04-05

Садржи априлске оквирне закрпе

да

да

Садржи закрпе за Април Вендор + Кернел

Не

да

Садржи мартовске оквирне закрпе

да

да

Садржи мартовске закрпе за добављача + кернел

да

да

Наравно, неки произвођачи оригиналне опреме могу се одлучити да своје сопствене закрпе и ажурирања додају иу безбедносна ажурирања. Већина ОЕМ-а има своје мишљење о Андроиду, тако да има смисла само да имате, на пример, рањивост на Самсунг телефону која не постоји на Хуавеи. Многи од ових ОЕМ-а такође објављују сопствене безбедносне билтене.

  • Гоогле Пикел
  • Хуавеи
  • ЛГ
  • Моторола
  • ХМД Глобал
  • Самсунг

Временска линија безбедносне закрпе са Гоогле-а на вашем телефону

Безбедносне закрпе имају временски оквир који отприлике обухвата око 30 дана, иако не може сваки ОЕМ да искористи пуну дужину тог временског оквира. Хајде да погледамо Сигурносна закрпа за мај 2019 на пример, и можемо да разбијемо целу временску линију иза стварања ове закрпе. Компаније попут Ессентиал успевају да извуку њихова безбедносна ажурирања истог дана као Гоогле Пикел, па како то раде? Кратак и једноставан одговор је да су они Андроид партнер. Безбедносни билтен за мај 2019 објављена је 6. маја, при чему и Гоогле Пикелс и Ессентиал Пхоне добијају скоро тренутна ажурирања.

Шта значи бити Андроид партнер

Не може било која компанија бити Андроид партнер, иако је то у основи сваки већи Андроид ОЕМ. Андроид партнери су компаније које добијају лиценцу да користе Андроид бренд у маркетиншком материјалу. Такође им је дозвољено да испоручују Гоогле мобилне услуге (ГМС – односи се на скоро све Гоогле услуге) све док испуњавају захтеве наведене у Документ дефиниције компатибилности (ЦДД) и положите пакет за тестирање компатибилности (ЦТС), пакет за тестирање добављача (ВТС), Гоогле тест пакет (ГТС) и неколико других тестова. Постоје јасне разлике у процесу безбедносне закрпе за компаније које нису Андроид партнер.

  • Закрпе за Андроид оквир су им доступне након што се споје са АОСП 1-2 дана пре објављивања безбедносног билтена.
  • Упстреам Линук кернел закрпе се могу изабрати када буду доступне.
  • Доступне су исправке произвођача СоЦ-а за компоненте затвореног кода у зависности од споразума са добављачем СоЦ-а. Имајте на уму да ако је продавац ОЕМ-у дао приступ изворном коду компоненте(а) затвореног кода, онда ОЕМ може сам да реши проблем(е). Ако ОЕМ нема приступ изворном коду, онда мора да сачека да продавац изда исправку.

Ако сте Андроид партнер, одмах вам је много лакше. Андроид партнери су обавештени о свим проблемима Андроид оквира и Линук кернелу најмање 30 дана пре објављивања билтена. Гоогле обезбеђује закрпе за све проблеме које ОЕМ произвођачи могу спојити и тестирати, иако закрпе компоненти добављача зависе од добављача. Закрпе за проблеме са Андроид оквиром откривене у безбедносном билтену из маја 2019., на пример, достављене су Андроид партнерима најмање већ 20. марта 2019.*. То је лот додатног времена.

*Напомена: Гоогле може, и то често ради, да ажурира закрпе за најновији безбедносни билтен све до јавног објављивања. Ова ажурирања се могу десити ако се пронађу нове рањивости и грешке, ако Гоогле одлучи да уклони одређене закрпе из месечног билтена због квара критичних компоненти, ако Гоогле ажурира закрпу да би решио грешку коју је направила претходна верзија закрпе и друге разлозима.

Зашто морам толико дуго да чекам да добијем безбедносну закрпу на свом телефону?

Иако је истина да су Андроид партнери (читај: сви главни произвођачи оригиналне опреме) добили безбедносне закрпе много пре издању, многи су болно свесни да вероватно неће добити безбедносну исправку месецима након исте издање. Ово се углавном своди на један од четири разлога.

  • Произвођачи оригиналне опреме ће можда морати да изврше велике техничке промене како би прилагодили безбедносну закрпу, јер она може бити у сукобу са постојећим кодом.
  • Продавац је спор у обезбеђивању ажурирања изворног кода за компоненте затвореног кода.
  • Сертификација оператера може потрајати.
  • Компаније можда неће бити вољне да објаве безбедносно ажурирање, а да истовремено не објаве и функцију.

Иако су све ово ваљани разлози за предузеће да не објави безбедносну закрпу, крајњем кориснику није увек стало ни до једног од њих. Додуше, ни крајњи корисник не брине увек о безбедносним закрпама, иако би требало. Иницијативе попут Пројецт Требле, проширени Линук ЛТС, и Пројецт Маинлине помажу да се елиминишу техничке потешкоће спајања ових безбедносних закрпа, али то није довољно да ОЕМ произвођачи доследно настоје да објављују ажурирања. Са генеричком сликом кернела, или ГКИ, произвођачи СоЦ-а и ОЕМ-ови ће лакше спајати закрпе узводног Линук кернела, мада прве уређаје са ГКИ вероватно нећемо видети до следеће године.

Али занимљива информација коју већина не зна је да су главни произвођачи оригиналне опреме мора обезбедити „најмање четири безбедносна ажурирања“ у року од годину дана од лансирања уређаја и укупно 2 године ажурирања. Гоогле није потврдио ове конкретне услове, али је компанија потврдила да су „радили на уградњи безбедносних закрпа у [њихове] ОЕМ уговоре“. Што се тиче Андроид уређаја препоручених за предузећа (АЕР), уређаји морају да добију безбедносна ажурирања у року од 90 дана од објављивања током 3 године. За добијање су потребни чврсти АЕР уређаји 5 година безбедносних ажурирања. Андроид Оне уређаји би требало да добијају безбедносна ажурирања сваког месеца током 3 године.

Шта је у безбедносној закрпи?

Безбедносна закрпа је само још једна исправка, мада генерално много мања са променама појединачних оквира и системских модула, а не побољшањима или променама у целом систему. Сваког месеца, Гоогле обезбеђује произвођачима оригиналне опреме уређаја зип датотеку која садржи закрпе за све главне верзије Андроида које су тренутно још увек подржане, заједно са пакетом безбедносних тестова. Овај тестни пакет помаже ОЕМ-има да ухвате празнине у безбедносним закрпама, како би се осигурало да им ништа не недостаје и да су закрпе спојене на одговарајући начин. Како месец одмиче, Гоогле може да направи мање ревизије, као што је одлука да је једна специфична закрпа опциона, посебно ако постоје проблеми при њеној примени.

Шта је са прилагођеним РОМ-овима?

Ако ваш паметни телефон не добија много безбедносних ажурирања, то не значи нужно да је боље да пређете на прилагођени РОМ. Иако је истина да ћете добити безбедносна ажурирања која иначе не бисте добили, то је само половина приче. Откључавање покретачког програма оставља вас подложним физичким нападима на ваш уређај, чак и ако је на страни софтвера сигурност појачана. То не значи да не треба да користите прилагођене РОМ-ове, само постоје друге бриге када је у питању њихово коришћење које не важе ако је ваш покретачки програм закључан. Ако сте више забринути око софтверске стране ствари, онда вам је ипак боље са прилагођеним РОМ-ом који често добија безбедносне закрпе.

Али запамтите да смо разговарали о разлици између закрпа ГГГГ-ММ-01 и ГГГГ-ММ-05? Ниво закрпе -05 садржи закрпе Линук кернела, као и закрпе добављача - закрпе примењене на софтвер затвореног кода. То значи да су програмери прилагођених РОМ-а на милости било којег ОЕМ-а за који развијају, и да ли ОЕМ издаје ажуриране блоб-ове или не. Ово је у реду за уређаје које произвођач још увек ажурира, али за уређаје који нису, примењене закрпе се могу применити само на Андроид оквир и Линук кернел. Због тога ЛинеагеОС' Интерфејс поверења приказује два нивоа безбедносне закрпе - један је платформа, други је добављач. Иако прилагођени РОМ-ови за неподржане уређаје не могу у потпуности да интегришу све најновије закрпе, они ће бити сигурнији од старијег, застарелог РОМ-а.