Google อาจแยกระดับแพตช์ความปลอดภัยของ Android เพื่อการอัปเดตความปลอดภัยที่เร็วขึ้น

เป็นเวลานานแล้วในประวัติศาสตร์ยุคแรกๆ ที่ Android มีชื่อเสียงในด้านความปลอดภัยน้อยกว่า iOS เนื่องจากแนวทาง "walled garden" ของ Apple ต่อแอปพลิเคชัน ไม่ว่าชื่อเสียงในอดีตนั้นสมควรได้รับหรือไม่นั้นไม่ใช่สิ่งที่เราจะต้องเจาะลึก แต่เป็นที่ชัดเจนว่า Google มีความก้าวหน้าอย่างมากในการรักษาความปลอดภัยให้กับ Android จากช่องโหว่ บริษัทไม่เพียงแต่นำเสนอฟีเจอร์ความปลอดภัยใหม่ใน Android เวอร์ชันล่าสุดเท่านั้น แอนดรอยด์พีแต่พวกเขายังให้บริการ "การรักษาความปลอดภัยระดับองค์กร" ในอุปกรณ์รุ่นล่าสุดด้วยโมดูลความปลอดภัยฮาร์ดแวร์ใน Google Pixel 2/2 XL การรักษาอุปกรณ์ให้ปลอดภัยยังต้องมีการอัปเดตอย่างต่อเนื่องเพื่อแก้ไขภัยคุกคามล่าสุดทั้งหมดด้วย ซึ่งเป็นเหตุผลว่าทำไม Google ถึงมี กระดานข่าวความปลอดภัยรายเดือน สำหรับผู้ผลิตอุปกรณ์และผู้จำหน่ายทั้งหมดเพื่อรวมแพตช์เพื่อต่อต้านช่องโหว่ที่ทราบทั้งที่ใช้งานอยู่และที่อาจเกิดขึ้นทั้งหมด ขณะนี้ปรากฏว่าบริษัทอาจจะทำการเปลี่ยนแปลงระบบ Android Security Patch โดยให้ช่องทางในการ

แยกความแตกต่างระหว่างระดับแพตช์เฟรมเวิร์ก Android และระดับแพตช์ของผู้จำหน่าย พร้อมกับ bootloader, เคอร์เนล ฯลฯ เพื่อแบ่งระดับแพตช์รักษาความปลอดภัย เพื่อให้ OEM สามารถอัปเดตเฟรมเวิร์กอย่างแท้จริง หรือระบุให้ผู้ใช้ทราบว่าพวกเขากำลังใช้งานแพตช์ระดับใดได้ดียิ่งขึ้น

---

แพทช์รักษาความปลอดภัย Android รายเดือน - ไพรเมอร์

เราทุกคนรู้ดีว่าแพตช์รักษาความปลอดภัยมีความสำคัญ โดยเฉพาะอย่างยิ่งหลังจากที่มีการเปิดเผยช่องโหว่จำนวนมากต่อสาธารณะในช่วงครึ่งหลังของปีที่แล้ว ที่ ช่องโหว่ของบลูบอร์น โจมตีโปรโตคอล Bluetooth และได้รับการแก้ไขใน แพตช์รายเดือนเดือนกันยายน 2017, แคร็ก กำหนดเป้าหมายจุดอ่อนใน Wi-Fi WPA2 และได้รับการแก้ไขแล้ว ธันวาคม 2017และช่องโหว่ Spectre/Meltdown ส่วนใหญ่ได้รับการแก้ไขด้วย แพตช์เดือนมกราคม 2018. การแก้ไขช่องโหว่เหล่านี้มักต้องได้รับความร่วมมือจากผู้จำหน่ายฮาร์ดแวร์ (เช่น Broadcom และ Qualcomm) เนื่องจากช่องโหว่ดังกล่าวเกี่ยวข้องกับส่วนประกอบฮาร์ดแวร์ เช่น ชิป Wi-Fi หรือ Bluetooth หรือ ซีพียู ในทางกลับกันระบบปฏิบัติการ Android ก็มีปัญหาเช่นนี้ การโจมตีการซ้อนทับข้อความขนมปังปิ้ง ที่ต้องอัปเดตเป็น Android Framework เท่านั้นจึงจะแก้ไขได้

เมื่อใดก็ตามที่ Google ออกแพทช์รักษาความปลอดภัยรายเดือน ผู้ผลิตอุปกรณ์จะต้องแก้ไขช่องโหว่ทั้งหมด ตามที่ระบุไว้ในกระดานข่าวความปลอดภัยของเดือนนั้น หากพวกเขาต้องการบอกว่าอุปกรณ์ของตนมีความปลอดภัยจนถึงแพตช์รายเดือนนั้น ระดับ. ในแต่ละเดือน จะมีแพตช์รักษาความปลอดภัยสองระดับที่อุปกรณ์สามารถตอบสนองได้ ได้แก่ ระดับแพตช์ในวันที่ 1 ของเดือนหรือวันที่ 5 ของเดือน หากอุปกรณ์แจ้งว่ากำลังใช้งานระดับแพตช์ตั้งแต่วันที่ 1 ของเดือน (เช่น วันที่ 1 เมษายน แทนที่จะเป็นวันที่ 5 เมษายน) นั่นหมายความว่าบิลด์ประกอบด้วยเฟรมเวิร์กและแพตช์ผู้จำหน่ายทั้งหมดจากการเปิดตัวเดือนที่แล้ว รวมถึงแพตช์เฟรมเวิร์กทั้งหมดจากกระดานข่าวความปลอดภัยใหม่ล่าสุด ในทางกลับกัน หากอุปกรณ์แจ้งว่ากำลังใช้งานระดับแพตช์ตั้งแต่วันที่ 5 ของเดือน (5 เมษายน สำหรับ ตัวอย่าง) นั่นหมายความว่ามีเฟรมเวิร์กและแพตช์ผู้จำหน่ายทั้งหมดจากเดือนที่แล้วและของเดือนนี้ กระดานข่าว นี่คือตารางที่แสดงตัวอย่างความแตกต่างพื้นฐานระหว่างระดับแพตช์รายเดือน:

คุณอาจคุ้นเคยกับสถานการณ์แพตช์ความปลอดภัยในระบบนิเวศของ Android ที่น่าหดหู่เพียงใด แผนภูมิด้านล่างแสดงให้เห็นว่า Google และ Essential มอบการอัปเดตแพตช์ความปลอดภัยรายเดือนที่เร็วที่สุดในขณะที่บริษัทอื่นๆ ตามหลัง OEM อาจต้องใช้เวลาหลายเดือนในการนำแพตช์ล่าสุดมาสู่อุปกรณ์ เช่น วิธีการ OnePlus 5 และ OnePlus 5T เพิ่งได้รับ แพทช์รักษาความปลอดภัยเดือนเมษายน เมื่อก่อนหน้านี้บนแพทช์ของเดือนธันวาคม

สถานะแพตช์ความปลอดภัยของ Android ณ เดือนกุมภาพันธ์ 2018 แหล่งที่มา: @วินาที X13

ปัญหาในการให้บริการอัปเดต Android Security Patch ไม่จำเป็นว่า OEM จะต้องเกียจคร้าน เพราะบางครั้งมันก็ไม่สามารถควบคุมได้ ดังที่เราได้กล่าวไปแล้ว การอัปเดตแพตช์ความปลอดภัยรายเดือนมักต้องได้รับความร่วมมือจากฮาร์ดแวร์ ผู้ขาย ซึ่งอาจทำให้เกิดความล่าช้าหากผู้ขายไม่สามารถติดตามแพตช์รักษาความปลอดภัยรายเดือนได้ แถลงการณ์ เพื่อต่อสู้กับสิ่งนี้ ดูเหมือนว่า Google อาจเริ่มแยกระดับแพตช์ความปลอดภัยของ Android Framework ออกจากระดับแพตช์ของผู้จำหน่าย (และอาจเป็นระดับ bootloader และเคอร์เนล) เพื่อที่ในอนาคต OEM จะสามารถรักษาความปลอดภัยของเฟรมเวิร์ก Android ได้อย่างหมดจด อัปเดต

---

อัพเดต Android Security Patch ที่เร็วขึ้นสำหรับช่องโหว่ของ Framework หรือไม่

ใหม่ ให้สัญญา ได้ปรากฏใน Android Open Source Project (AOSP) ซึ่งบอกเป็นนัยถึง "แพตช์ความปลอดภัยของผู้ขาย prop" ซึ่งจะถูกกำหนดไว้ในไฟล์ Android.mk ทุกครั้งที่มีการสร้างบิลด์ใหม่สำหรับอุปกรณ์ สร้าง. ทรัพย์สินนี้จะเรียกว่า "ro.vendor.build.security_patch"และจะคล้ายคลึงกับ"ro.build.version.security_patch" ซึ่งขณะนี้มีอยู่ในอุปกรณ์ Android ทั้งหมดเพื่อระบุระดับ Android Security Patch รายเดือน

สถานที่ให้บริการใหม่นี้จะบอกเราแทน "VENDOR_SECURITY_PATCH" ระดับของอุปกรณ์ซึ่งอาจตรงกับระดับแพตช์ความปลอดภัยของ Android Framework หรือไม่ก็ได้ ตัวอย่างเช่น อุปกรณ์อาจทำงานบนแพตช์เฟรมเวิร์กล่าสุดของเดือนเมษายน 2018 พร้อมกับแพตช์ของผู้จำหน่ายในเดือนกุมภาพันธ์ 2018 การแยกความแตกต่างระหว่างระดับแพตช์รักษาความปลอดภัยทั้งสองระดับ อาจเป็นไปได้ที่ Google ตั้งใจที่จะให้ OEM จัดส่ง แพตช์รักษาความปลอดภัยระบบปฏิบัติการ Android ล่าสุด แม้ว่าผู้จำหน่ายจะไม่ได้จัดเตรียมแพตช์ที่อัปเดตสำหรับแพตช์รายเดือนนั้นก็ตาม ระดับ.

อีกทางหนึ่ง, Google อาจจะแสดงแค่ขั้นต่ำก็ได้ ของระดับแพตช์ทั้งสองระดับ (ควบคู่ไปกับระดับ bootloader และเคอร์เนลแพตช์) เพื่อแสดงให้ผู้ใช้เห็นได้อย่างแม่นยำยิ่งขึ้นว่าอุปกรณ์ของตนเปิดแพตช์ความปลอดภัยใดบ้าง เรายังไม่มีการยืนยันถึงความตั้งใจเบื้องหลังแพตช์นี้ แต่เราหวังว่าจะได้ทราบข้อมูลเพิ่มเติมเร็วๆ นี้

อย่างน้อยที่สุดสิ่งนี้ก็จะเป็นประโยชน์สำหรับพวกเรา โครงการเสียงแหลมอิมเมจระบบทั่วไป (GSI) และ ROM แบบกำหนดเองอื่น ๆ ที่ใช้ AOSP เนื่องจาก ROM แบบกำหนดเองมักจะให้การอัปเดตเฟรมเวิร์กเท่านั้นโดยไม่ต้องแพตช์ผู้จำหน่ายทั้งหมด bootloader และแพทช์เคอร์เนลที่ระบุไว้ในกระดานข่าวความปลอดภัยรายเดือน ดังนั้นความไม่ตรงกันทำให้เกิดความสับสนในหมู่ผู้ใช้ คิดว่าพวกเขากำลังใช้งานแพตช์ล่าสุด แต่ในความเป็นจริงแล้ว อุปกรณ์ของพวกเขาได้รับการแพตช์เพียงบางส่วนตามการรักษาความปลอดภัยรายเดือนล่าสุด กระดานข่าว