Aylık Android güvenlik yaması güncellemelerinin nasıl çalıştığını hiç merak ettiniz mi? Artık merak etmeyin, çünkü tüm süreci anlamanız için elimizde sadece bir başlangıç noktası var.
Google, Ağustos 2015'ten bu yana aylık güvenlik bültenleri yayınlıyor. Bu güvenlik bültenleri, Android çerçevesini, Linux çekirdeğini ve diğer kapalı kaynak satıcı bileşenlerini etkileyen, açıklanan ve düzeltilen güvenlik açıklarının bir listesini içerir. Bültenlerdeki her güvenlik açığı ya Google tarafından keşfedildi ya da şirkete açıklandı. Listelenen her güvenlik açığının, ilişkili güvenlik açıklarıyla birlikte bir Ortak Güvenlik Açıkları ve Etkilenme (CVE) numarası vardır. referanslar, güvenlik açığı türü, önem derecesi değerlendirmesi ve etkilenen AOSP sürümü (eğer uygulanabilir). Ancak Android güvenlik yamalarının işleyişinin ardındaki basit gibi görünen sürece rağmen aslında bir miktar Telefonunuzun aylık veya (umarım) neredeyse aylık olmasını sağlayan karmaşık sahne arkası ileri geri konuşmalar yamalar.
Aslında bir güvenlik yamasını oluşturan şey nedir?
Her ay aslında şunu fark etmiş olabilirsiniz: iki güvenlik yaması seviyeleri. Bu yamaların formatı YYYY-AA-01 veya YYYY-AA-05'tir. YYYY ve MM sırasıyla yılı ve ayı temsil ederken, "01" ve "05" kafa karıştırıcı bir şekilde aslında güvenlik yaması seviyesinin yayınlandığı ayın gününü ifade etmiyor. Bunun yerine, 01 ve 05 aslında her ayın aynı gününde yayınlanan iki farklı güvenlik yaması seviyesidir; sonunda 01 bulunan yama seviyesi Android çerçevesine yönelik düzeltmeler içerir ancak Olumsuz satıcı yamaları veya yukarı akışlı Linux çekirdek yamaları. Yukarıda tanımladığımız satıcı yamaları, Wi-Fi ve Bluetooth sürücüleri gibi kapalı kaynak bileşenlere yönelik düzeltmeleri ifade eder. -05 ile gösterilen güvenlik yaması düzeyi, bu satıcı yamalarının yanı sıra Linux çekirdeğindeki yamaları da içerir. Anlamanıza yardımcı olabilecek aşağıdaki tabloya bir göz atın.
Aylık Güvenlik Yaması Düzeyi |
2019-04-01 |
2019-04-05 |
|---|---|---|
Nisan Çerçeve Yamalarını İçerir |
Evet |
Evet |
Nisan Satıcısı + Çekirdek Yamalarını İçerir |
HAYIR |
Evet |
Mart Çerçeve Yamalarını İçerir |
Evet |
Evet |
Mart Satıcısı + Çekirdek Yamalarını İçerir |
Evet |
Evet |
Elbette bazı OEM'ler kendi yamalarını ve güncellemelerini güvenlik güncellemelerine de dahil etmeyi tercih edebilir. Çoğu OEM'in Android konusunda kendi görüşleri vardır; bu nedenle, örneğin bir Samsung telefonunda, Huawei'de bulunmayan bir güvenlik açığına sahip olmanız mantıklıdır. Bu OEM'lerin çoğu aynı zamanda kendi güvenlik bültenlerini de yayınlıyor.
- Google Piksel
- Huawei
- LG
- Motorola'nın
- HMD Küresel
- SAMSUNG
Google'dan telefonunuza gönderilen güvenlik yamasının zaman çizelgesi
Güvenlik yamalarının yaklaşık 30 günlük bir zaman çizelgesi vardır, ancak her OEM bu zaman çizelgesinin tamamından yararlanamaz. Hadi şuna bir göz atalım Mayıs 2019 güvenlik yaması örneğin, bu yamanın oluşturulmasının ardındaki zaman çizelgesinin tamamını ayrıntılı olarak inceleyebiliriz. Şirketler gibi Gerekli güvenlik güncellemelerini çıkarmayı başarmak aynı günde Google Pixel olarak, peki bunu nasıl yapıyorlar? Kısa ve basit cevap şu ki onlar bir Android ortağı. Mayıs 2019 güvenlik bülteni 6 Mayıs'ta yayınlandı, hem Google Pixels hem de Essential Phone neredeyse anında güncelleme alıyor.
Android İş Ortağı olmanın anlamı
Her ne kadar temelde her büyük Android OEM'i öyle olsa da, herhangi bir şirket Android Ortağı olamaz. Android İş Ortakları, Android markasını pazarlama materyallerinde kullanma lisansı verilen şirketlerdir. Ayrıca, bu belgede belirtilen gereklilikleri karşıladıkları sürece Google Mobil Hizmetlerini (GMS - hemen hemen tüm Google hizmetlerini ifade eder) göndermelerine de izin verilir. Uyumluluk Tanımı Belgesi (CDD) ve Uyumluluk Test Paketi (CTS), Satıcı Test Paketi (VTS), Google Test Paketi (GTS) ve diğer birkaç testi geçin. Şirketler için güvenlik yaması sürecinde belirgin farklılıklar vardır. değil bir Android İş Ortağı.
- Güvenlik bülteni yayınlanmadan 1-2 gün önce AOSP ile birleştirildikten sonra Android çerçeve yamaları kendilerine sunulur.
- Yukarı akışlı Linux çekirdeği yamaları, mevcut olduklarında isteğe göre seçilebilir.
- Kapalı kaynak bileşenler için SoC satıcılarının düzeltmeleri, SoC satıcısıyla yapılan anlaşmalara bağlı olarak mevcuttur. Satıcı, OEM'e kapalı kaynak bileşenin/bileşenlerin kaynak koduna erişim izni verdiyse, OEM'in sorunu/sorunları kendisinin düzeltebileceğini unutmayın. OEM'in kaynak koduna erişimi yoksa satıcının bir düzeltme yayınlamasını beklemeleri gerekir.
Bir Android İş Ortağıysanız, bunu hemen çok daha kolay bir şekilde yapabilirsiniz. Android iş ortakları, tüm Android çerçeve sorunları ve Linux çekirdeği sorunları hakkında bültenin kamuya açıklanmasından en az 30 gün önce bilgilendirilir. Google, OEM'lerin birleştirmesi ve test etmesi için tüm sorunlara yönelik yamalar sağlar, ancak satıcı bileşeni yamaları satıcıya bağlıdır. Örneğin Mayıs 2019 güvenlik bülteninde açıklanan Android çerçeve sorunlarına yönelik yamalar, Android iş ortaklarına en az 20 Mart 2019* kadar erken bir tarihte sağlanmıştır. O bir pay ekstra zaman.
*Not: Google, en son güvenlik bülteninin yamalarını genel yayınlanıncaya kadar güncelleyebilir ve sıklıkla da günceller. Bu güncellemeler, yeni güvenlik açıkları ve hatalar bulunması veya Google'ın aylık bültenden belirli yamaları kaldırmaya karar vermesi durumunda gerçekleşebilir. Kritik bileşenlerin bozulması nedeniyle Google, yamanın önceki sürümü tarafından oluşturulan bir hatayı çözmek için bir yamayı güncellerse ve diğer sebepler.
Telefonuma güvenlik yaması almak için neden bu kadar beklemem gerekiyor?
Her ne kadar Android İş Ortaklarının (tüm büyük OEM'ler) güvenlik yamalarını ürünlerinden çok önce aldıkları doğru olsa da Pek çok kişi, yayınlandıktan sonra muhtemelen aylar boyunca bir güvenlik güncellemesi alamayacaklarının acı bir şekilde farkında. serbest bırakmak. Bu genellikle dört nedenden birine bağlıdır.
- Mevcut kodla çakışabileceğinden, OEM'lerin bir güvenlik yamasına uyum sağlamak için ağır teknik değişiklikler yapması gerekebilir.
- Satıcı, kapalı kaynak bileşenler için güncelleme kaynak kodunu sağlama konusunda yavaştır.
- Taşıyıcı sertifikasyonu zaman alabilir.
- Şirketler aynı zamanda bir özellik yayınlamadan güvenlik güncellemesi yayınlamak istemeyebilirler.
Bunların hepsi bir işletmenin güvenlik yaması yayınlamaması için geçerli nedenler olsa da, son kullanıcı bunların hiçbirini her zaman umursamaz. Kuşkusuz, son kullanıcı da güvenlik yamalarını her zaman önemsemiyor, ancak bunu yapması gerekiyor. Project Treble gibi girişimler, genişletilmiş Linux LTS, Ve Proje Ana Hattı Bu güvenlik yamalarını birleştirmenin teknik zorluklarını ortadan kaldırmaya yardımcı oluyor ancak OEM'lerin sürekli olarak güncelleme yayınlamaya çalışmasını sağlamak için yeterli değil. Genel Çekirdek Görüntüsü veya GKI ile SoC satıcıları ve OEM'ler yukarı akışlı Linux çekirdek yamalarını birleştirme konusunda daha kolay bir zaman elde edecekler, ancak muhtemelen GKI'ye sahip ilk cihazları gelecek yıla kadar göremeyeceğiz.
Ancak çoğu kişinin bilmediği ilginç bir bilgi, büyük OEM'lerin mutlak Bir cihazın piyasaya sürülmesinden sonraki bir yıl içinde ve genel olarak 2 yıllık güncellemeler içinde "en az dört güvenlik güncellemesi" sağlayın. Google bu özel şartları onaylamadı ancak şirket "OEM anlaşmalarına güvenlik yaması eklemek için çalıştıklarını" doğruladı. Android Kurumsal Tavsiye Edilen (AER) cihazlarda olduğu gibi, cihazların 3 yıl boyunca, piyasaya sürüldükten sonraki 90 gün içinde güvenlik güncellemelerini almaları gerekmektedir. Sağlam AER cihazları gereklidir 5 yıl güvenlik güncellemeleri. Android One cihazlarının 3 yıl boyunca her ay güvenlik güncellemeleri alması gerekiyor.
Güvenlik yamasının içinde neler var?
Güvenlik yaması sadece başka bir güncellemedir, ancak genellikle sistem çapında iyileştirmeler veya değişiklikler yerine bireysel çerçeveler ve sistem modüllerinde yapılan değişikliklerle çok daha küçüktür. Google her ay cihaz OEM'lerine, bir güvenlik testi paketiyle birlikte, halen desteklenen tüm önemli Android sürümleri için yamalar içeren bir zip dosyası sağlar. Bu test paketi, OEM'lerin güvenlik yamalarındaki boşlukları yakalamasına yardımcı olur. hiçbir şeyi kaçırmamalarını sağlamak için ve yamaların uygun şekilde birleştirildiğini. Ay ilerledikçe Google, özellikle uygulamada sorunlar olması durumunda belirli bir yamanın isteğe bağlı olduğuna karar vermek gibi küçük revizyonlar yapabilir.
Özel ROM'lar ne olacak?
Akıllı telefonunuz çok fazla güvenlik güncellemesi almıyorsa bu, özel bir ROM'a geçmenizin daha iyi olacağı anlamına gelmez. Aksi takdirde alamayacağınız güvenlik güncellemelerini alacağınız doğru olsa da bu, hikayenin yalnızca yarısıdır. Önyükleyicinizin kilidini açmak, yazılım tarafında güvenlik güçlendirilmiş olsa bile sizi cihazınıza yönelik fiziksel saldırılara karşı savunmasız bırakır. Bu, özel ROM'ları kullanmamanız gerektiği anlamına gelmez, yalnızca konu bunları kullanmaya geldiğinde, önyükleyiciniz kilitli tutulursa geçerli olmayan başka endişeler vardır. İşin yazılım tarafı hakkında daha fazla endişeleniyorsanız, sık sık güvenlik düzeltme ekleri alan özel bir ROM'u tercih etmeniz yine de daha iyidir.
Ancak YYYY-MM-01 ve YYYY-MM-05 yamaları arasındaki farktan bahsettiğimizi hatırlıyor musunuz? -05 yama seviyesi, Linux çekirdek yamalarının yanı sıra kapalı kaynak yazılımlara uygulanan satıcı yamalarını da içerir. Bu, özel ROM geliştiricilerinin, geliştirdikleri OEM'in insafına kaldığı ve OEM'in güncellenmiş bloblar yayınlayıp yayınlamadığı anlamına gelir. Bu, üretici tarafından güncellenen cihazlar için iyidir, ancak uygulanmayan cihazlar için uygulanan yamalar yalnızca Android çerçevesine ve Linux çekirdeğine uygulanabilir. İşte bu yüzden LineageOS' Güven Arayüzü iki güvenlik yaması düzeyi gösterir; biri platform, diğeri satıcıdır. Desteklenmeyen cihazlara yönelik özel ROM'lar en son yamaların tümünü tam olarak entegre edemese de eski, güncelliğini kaybetmiş ROM'lardan daha güvenli olacaklardır.