Android Açık Kaynak Projesi'nde keşfettiğimiz yakın tarihli bir taahhüde göre Google, Satıcının güvenlik yaması düzeyi ile Android Framework güvenlik yamasını birbirinden ayırmak için seviye. Bu, OEM'lerin donanım satıcılarının düzeltmeler sağlamasını beklerken Android'i güncel tutmasına olanak tanır.
Erken tarihinde uzun bir süre boyunca Android, Apple'ın uygulamalara yönelik "duvarlarla çevrili bahçe" yaklaşımı nedeniyle iOS'tan daha az güvenli olduğu yönünde bir üne sahipti. Geçmişteki bu itibarın hak edilip edilmediği, üzerinde duracağımız bir konu değil ancak Google'ın, Android'i güvenlik açıklarına karşı koruma konusunda büyük ilerlemeler kaydettiği açık. Şirket yalnızca Android'in en son sürümünde yeni güvenlik özellikleri sağlamakla kalmıyor, AndroidPama aynı zamanda "kurumsal düzeyde güvenlik" Google Pixel 2/2 XL'deki donanım güvenlik modülü sayesinde en yeni cihazlarında. Bir cihazı güvende tutmak aynı zamanda en son tehditlerin tümüne yama uygulamak için sürekli güncellemeler gerektirir; bu nedenle Google
aylık güvenlik bültenleri Tüm cihaz üreticilerinin ve satıcılarının bilinen tüm aktif ve potansiyel güvenlik açıklarına karşı yamalar eklemeleri. Şimdi ise şirketin Android Güvenlik Yaması sisteminde değişiklikler yapıyor olabileceği anlaşılıyor. Android çerçeve yaması düzeyi ile satıcı yaması düzeyi arasında ayrım yapın önyükleyici, çekirdek vb. ile birlikte. OEM'lerin saf çerçeve güncellemeleri sunabilmesi için güvenlik yaması düzeylerini bölmek ya da kullanıcıya hangi yama düzeyini çalıştırdıklarını daha iyi tanımlamak.Aylık Android Güvenlik Yamaları - Bir Başlangıç
Özellikle geçen yılın ikinci yarısında bir dizi yüksek profilli güvenlik açığının kamuoyuna duyurulmasının ardından güvenlik yamalarının önemli olduğunu hepimiz biliyoruz. BlueBorne güvenlik açığı Bluetooth protokolüne saldırdı ve yamalandı Eylül 2017 aylık yamaları, KRACK Wi-Fi WPA2'deki bir zayıflığı hedef alıyor ve yamalı Aralık 2017ve Spectre/Meltdown güvenlik açıkları çoğunlukla düzeltildi. Ocak 2018 yamaları. Bunlar gibi güvenlik açıklarının düzeltilmesi genellikle bir donanım satıcısıyla (Broadcom gibi) işbirliği yapılmasını gerektirir. ve Qualcomm) çünkü güvenlik açığı Wi-Fi veya Bluetooth yongası gibi bir donanım bileşeniyle veya İŞLEMCİ. Öte yandan Android işletim sisteminde de buna benzer sorunlar mevcut. tost mesajı yer paylaşımı saldırısı Bunu düzeltmek için yalnızca Android Çerçevesinin güncellenmesi gerekir.
Google aylık bir güvenlik yaması yayınladığında, cihaz üreticilerinin TÜM güvenlik açıklarını düzeltmesi gerekir Cihazlarının o aylık yamaya kadar güvende olduğunu söylemek isteyip istemedikleri o ayın güvenlik bülteninde belirtilen seviye. Her ay, bir cihazın karşılayabileceği iki güvenlik yaması düzeyi vardır: ayın 1'indeki ya da ayın 5'indeki yama düzeyi. Bir cihaz ayın 1'inden itibaren bir yama seviyesi çalıştırdığını söylüyorsa (örn. 5 Nisan yerine 1 Nisan) bu, yapının geçen ayın sürümündeki tüm çerçeve VE satıcı yamalarını ve ayrıca en yeni güvenlik bültenindeki tüm çerçeve yamalarını içerdiği anlamına gelir. Öte yandan, bir cihaz ayın 5'inden (5 Nisan) itibaren bir yama seviyesi çalıştırdığını söylüyorsa örneğin), bu, geçen aya ve bu aya ait tüm çerçeve ve satıcı yamalarını içerdiği anlamına gelir bülten. Aylık yama seviyeleri arasındaki temel farkı örnekleyen bir tablo:
Aylık Güvenlik Yaması Düzeyi |
1 Nisan |
5 Nisan |
|---|---|---|
Nisan Çerçeve Yamalarını İçerir |
Evet |
Evet |
Nisan ayı Satıcı Yamalarını İçerir |
HAYIR |
Evet |
Mart Çerçeve Yamalarını İçerir |
Evet |
Evet |
Mart ayı Satıcı Yamalarını İçerir |
Evet |
Evet |
Muhtemelen Android ekosistemindeki güvenlik yaması durumunun ne kadar iç karartıcı olduğunu biliyorsunuzdur. Aşağıdaki grafik, Google ve Essential'ın en hızlı aylık güvenlik yaması güncellemelerini sağladığını, diğer şirketlerin ise geride kaldığını gösteriyor. Bir OEM'in en son yamaları bir cihaza getirmesi aylar sürebilir; OnePlus 5 ve OnePlus 5T yakın zamanda alınan Nisan ayı güvenlik yaması daha önce Aralık ayı yamasındayken.
Şubat 2018 itibarıyla Android Güvenlik Yaması durumu. Kaynak: @SecX13
Android Güvenlik Düzeltme Eki güncellemelerini sağlamadaki sorun, OEM'lerin tembel olması anlamına gelmez, çünkü bazen bu durum onların kontrolü dışında olabilir. Daha önce de belirttiğimiz gibi, aylık güvenlik yaması güncellemeleri çoğu zaman bir donanımın işbirliğini gerektirir. Satıcının aylık güvenlik yamasını takip edememesi durumunda gecikmelere neden olabilecek satıcı bültenler. Bununla mücadele etmek için Google'ın Android Framework güvenlik yaması düzeyini satıcı yaması düzeyinden ayırmaya başlayabileceği anlaşılıyor (ve muhtemelen önyükleyici ve çekirdek düzeyi) böylece gelecekte OEM'ler tamamen Android çerçeve güvenliği sağlayabilir. güncellemeler.
Çerçeve Açıkları için daha hızlı Android Güvenlik Yaması güncellemeleri mi istiyorsunuz?
Yeni bir işlemek Android Açık Kaynak Projesi (AOSP) gerritinde "satıcı güvenlik yaması" olduğuna işaret eden bir hata ortaya çıktı Bir cihaz için yeni bir derleme oluşturulduğunda Android.mk dosyalarında tanımlanacak olan prop" yarattı. Bu mülkün adı "ro.vendor.build.security_patch" ve buna benzer olacak "ro.build.version.security_patch" Aylık Android Güvenlik Yaması düzeyini belirtmek için şu anda tüm Android cihazlarda mevcuttur.
Bu yeni özellik bunun yerine bize "VENDOR_SECURITY_PATCH" Android Framework güvenlik yaması düzeyiyle eşleşip eşleşmeyebilecek olan aygıt düzeyi. Örneğin, bir cihaz Şubat 2018 satıcı yamalarının yanı sıra en son Nisan 2018 çerçeve yamalarıyla da çalışıyor olabilir. İki güvenlik yaması düzeyi arasında ayrım yaparak Google'ın OEM'lerin yamayı göndermesine izin vermeyi düşünmesi mümkündür. Satıcılar söz konusu aylık yama için güncellenmiş yamalar sağlamamış olsa da en son Android işletim sistemi güvenlik yamaları seviye.
Alternatif olarak, Google sadece minimum değeri görüntüleyebilir Kullanıcıya, cihazının hangi güvenlik yamasını kullandığını daha doğru bir şekilde göstermek için iki yama seviyesinden (muhtemelen önyükleyici ve çekirdek yama seviyelerinin yanı sıra) biri. Bu yamanın ardındaki niyet hakkında henüz bir onaya sahip değiliz, ancak yakında daha fazla bilgi edinmeyi umuyoruz.
En azından bizlerin işine yarayacaktır Proje TizGenel Sistem Görselleri (GSI'ler) ve diğer AOSP tabanlı özel ROM'lar, genellikle özel ROM'lar, tüm satıcıya yama yapmadan yalnızca çerçeve güncellemeleri sağlar, Aylık bir güvenlik bülteninde belirtilen önyükleyici ve çekirdek yamaları, bu nedenle uyumsuzluk, kullanıcılar arasında kafa karışıklığına neden olur. En son yamaları çalıştırdıklarını sanıyorlar ama gerçekte cihazları en son aylık güvenlik güncellemesine göre yalnızca kısmen yamalanmış durumda bülten.