Відповідно до нещодавнього коміту, який ми виявили в проекті Android Open Source, Google готується щоб розрізняти рівень виправлення безпеки постачальника та виправлення безпеки Android Framework рівень. Це дозволяє OEM-виробникам оновлювати Android, чекаючи, поки постачальники апаратного забезпечення нададуть виправлення.
Довгий час у своїй ранній історії Android мав репутацію менш безпечної, ніж iOS, через підхід Apple до додатків із «огороженим садом». Ми не збираємося заглиблюватися в те, чи заслужена ця минула репутація чи ні, але очевидно, що Google досягла великих успіхів у захисті Android від уразливостей. Компанія не тільки надає нові функції безпеки в останній версії Android, Android P, але вони також надають "безпека корпоративного рівня" у своїх останніх пристроях завдяки апаратному модулю безпеки в Google Pixel 2/2 XL. Для забезпечення безпеки пристрою також потрібні безперервні оновлення для виправлення всіх останніх загроз, тому Google має щомісячні бюлетені безпеки для всіх виробників і постачальників пристроїв, щоб включити виправлення для всіх відомих активних і потенційних уразливостей. Тепер схоже, що компанія може вносити зміни в систему виправлень безпеки Android, надаючи спосіб
Щомісячні виправлення системи безпеки Android – Початок
Ми всі знаємо, що виправлення безпеки є важливими, особливо після того, як у другій половині минулого року було оприлюднено низку гучних уразливостей. The Уразливість BlueBorne атакував протокол Bluetooth і був виправлений у Щомісячні виправлення за вересень 2017 року, ТРІЩИНА націлено на недолік Wi-Fi WPA2 і було виправлено грудень 2017 року, а вразливості Spectre/Meltdown були здебільшого виправлені за допомогою Патчі січня 2018 року. Виправлення подібних уразливостей зазвичай потребує співпраці з постачальником апаратного забезпечення (наприклад, Broadcom і Qualcomm), оскільки вразливість стосується апаратного компонента, наприклад мікросхеми Wi-Fi або Bluetooth або ЦП. З іншого боку, в операційній системі Android є такі проблеми атака накладання тостового повідомлення які потребують лише оновлення Android Framework, щоб виправити.
Кожного разу, коли Google випускає щомісячне оновлення системи безпеки, виробники пристроїв повинні виправляти ВСІ вразливості викладено в бюлетені безпеки за цей місяць, якщо вони хочуть сказати, що їхній пристрій захищено до цього щомісячного виправлення рівень. Щомісяця існує два рівні виправлення безпеки, яким може відповідати пристрій: рівень виправлення 1-го або 5-го числа місяця. Якщо пристрій повідомляє, що він запускає рівень виправлення з 1-го числа місяця (наприклад, 1 квітня, а не 5 квітня), то це означає, що збірка містить усі виправлення фреймворка ТА постачальника з випуску останнього місяця, а також усі виправлення фреймворку з останнього бюлетеня безпеки. З іншого боку, якщо пристрій повідомляє, що він запускає рівень виправлення з 5 числа місяця (5 квітня, для приклад), то це означає, що він містить усі виправлення фреймворку та постачальника з минулого та цього місяців бюлетень. Ось таблиця, яка демонструє основну різницю між рівнями щомісячних виправлень:
Щомісячний рівень виправлення безпеки |
1 квітня |
5 квітня |
|---|---|---|
Містить квітневі виправлення Framework |
Так |
Так |
Містить квітневі латки постачальників |
Немає |
Так |
Містить виправлення March Framework |
Так |
Так |
Містить березневі латки постачальників |
Так |
Так |
Ви, напевно, знаєте, наскільки сумною є ситуація з виправленнями безпеки в екосистемі Android. На діаграмі нижче показано, що Google і Essential надають найшвидші щомісячні оновлення системи безпеки, тоді як інші компанії відстають. Виробнику комплектного обладнання можуть знадобитися місяці, щоб запровадити останні виправлення для пристрою, наприклад, як OnePlus 5 і OnePlus 5T нещодавно отримав Квітневий патч безпеки коли вони раніше були на грудневому патчі.
Стан виправлення безпеки Android станом на лютий 2018 року. Джерело: @Розділ X13
Проблема з наданням оновлень безпеки Android необов’язково полягає в тому, що виробники оригінального обладнання ліниві, оскільки іноді це може бути поза їхнім контролем. Як ми вже згадували раніше, щомісячні оновлення патчів безпеки часто потребують співпраці апаратного забезпечення постачальника, що може спричинити затримки, якщо постачальник не в змозі встигати за щомісячним виправленням безпеки бюлетені. Щоб боротися з цим, схоже, Google може почати відокремлювати рівень виправлення безпеки Android Framework від рівня виправлення постачальника (і, можливо, рівень завантажувача та ядра), щоб у майбутньому OEM-виробники могли забезпечувати безпеку виключно на базі Android оновлення.
Швидше оновлення виправлень безпеки Android для вразливостей фреймворку?
Новий здійснити з’явився в Android Open Source Project (AOSP) gerrit, який натякає на «патч безпеки постачальника prop", який буде визначено у файлах Android.mk щоразу, коли створюється нова збірка для пристрою створений. Це властивість буде називатися "ro.vendor.build.security_patch" і буде аналогічно "ro.build.version.security_patch", який зараз існує на всіх пристроях Android, щоб указати щомісячний рівень виправлення безпеки Android.
Натомість ця нова властивість повідомить нам "VENDOR_SECURITY_PATCH" на пристрої, який може відповідати або не відповідати рівню виправлення безпеки Android Framework. Наприклад, пристрій може працювати з останніми виправленнями фреймворку від квітня 2018 року разом із виправленнями постачальника від лютого 2018 року. Розрізняючи два рівні виправлення безпеки, можливо, Google має намір дозволити виробникам комплектного обладнання постачати найновіші виправлення безпеки ОС Android, навіть якщо постачальники не надали оновлених виправлень для цього щомісячного виправлення рівень.
В якості альтернативи, Google може просто відображати мінімум двох рівнів виправлення (можливо, поряд із рівнями виправлення завантажувача та ядра), щоб точніше показати користувачеві, яке виправлення безпеки встановлено на його пристрої. Ми ще не маємо підтвердження щодо наміру цього патча, але ми сподіваємося дізнатися більше найближчим часом.
Принаймні, це буде корисно для тих із нас Проект TrebleЗагальні образи системи (GSI) та інші користувацькі ПЗУ на основі AOSP, оскільки часто користувальницькі ПЗУ надають лише оновлення фреймворку без виправлення всіх постачальників, завантажувач і виправлення ядра, які вказані в щомісячному бюлетені безпеки, тому невідповідність викликає плутанину серед користувачів, оскільки вони думають, що вони використовують найновіші виправлення, тоді як насправді їхній пристрій лише частково виправлено щодо останньої щомісячної безпеки бюлетень.