查看: 270|回复: 2

Google可能会拆分Android安全补丁程序级别以实现更快速的安...

[复制链接]
发表于 2018-4-11 15:49:23 | 显示全部楼层 |阅读模式
  
  在很长一段时间里,由于苹果对应用程序采用了“围墙花园”式的方法,因此Android一直被认为其安全性不如iOS这些“过去式”小编在这里就不深入讨论啦,但显然Google已经在提高Android安全性的方面取得了巨大进展。该公司不仅在最新版本的AndroidAndroid P中提供了新的安全功能,而且有了Google Pixel 2/2 XL中的硬件安全模块,它们还在其最新设备中提供“企业级别的安全性保障但是设备安全还需要持续更新以修补所有最新的威胁,这就是为什么Google每月都会所有设备制造商和供应商发布安全公告,以便将补丁与所有已知和潜在漏洞相对应。现在,公司似乎可以Android安全修补程序系统进行更改通过提供一种方法来区分Android框架修补程序级别和供应商修补程序级别这一更改可以将安全补丁级别分开,这样一来原始设备制造商就可以提供纯粹的框架更新,或者让用户更加了解他们正在运行的补丁级别。

Android每月安全补丁 - 入门
     我们都知道安全补丁很重要,尤其是在去年下半年公布一系列引人注目的漏洞之后。 BlueBorne漏洞攻击了蓝牙协议,并20179月的补丁中KRACK看准了Wi-Fi WPA2中的漏洞,并于201712补丁修复,而Spectre / Meltdown漏洞大多20181补丁中被修复 修复像这样的漏洞通常需要与硬件供应商(如BroadcomQualcomm)合作,因为该漏洞涉及诸如Wi-Fi或蓝牙芯片或CPU等硬件组件。 另一方面,Android操作系统中存在一些问题,例如toast消息覆盖攻击,只需要更新Android Framework即可解决问题。
     无论Google何时推出每月安全补丁,如果设备制造商想确保其设备的安全,那么他们需要修复该月安全公告中列出的所有漏洞。每个月设备可以获取的安全补丁程序级别有两个每月1号或5号的补丁级别。如果设备从本月1开始运行补丁级别(例如41而非45),那意味着该版本包含上个月发布的所有框架和供应商补丁以及本月安全公告的所有框架补丁。但是,如果设备从本月5日(例如45日)开始运行补丁级别,那么这意味着它包含上个月和本月公告的所有框架和所有供应商补丁程序。以下表格列举了每月补丁程序级别之间的区别:
   您可能很了解Android系统中安全补丁情况的糟糕程度。下图显示GoogleEssential提供每月安全补丁更新的速度是最快的,而其他公司则相对落后。 OEM可能需要几个月的时间才能将最新的修补程序应用到设备上,例如OnePlus 5OnePlus 5T4月份收到的安全修补程序是在去年12月份的补丁中的内容
   提供Android安全补丁更新的问题并不一定是原始设备制造商懒惰,而是有时侯现实情况可能超出他们的控制。正如我们前面提到的,每月安全补丁更新通常需要硬件供应商的合作,如果供应商无法跟上每月安全补丁公告的进度可能会导致延迟。为了解决这个问题,Google可能会开始将Android 框架安全补丁级别与供应商补丁级别分开还有可能引导加载程序和内核级别也分开,以便将来OEM可以提供纯粹的Android框架安全更新。
针对框架漏洞的Android安全补丁更新的速度会更快
   根据Android开源项目(AOSPgerrit的相关提示暗示了“供应商安全补丁道具”的出现,无论在什么时候创建一个设备的新版本,这个道具都将在Android.mk文件中定义。属性将被称为ro.vendor.build.security_patch”,类似于目前存在于所有Android设备上的“ro.build.version.security_patch”,以用于详细说明每月的Android安全补丁级别。
  这个新属性会告诉我们设备的VENDOR_SECURITY_PATCH”级别,该级别可能与Android Framework安全补丁级别相匹配,也可能不匹配。例如,一个设备可能会运行最新的20184月框架补丁以及20182月的供应商补丁。通过区分这两个安全补丁程序级别,Google有可能让原始设备制造商(OEM)发布最新的Android操作系统安全补丁程序,即使供应商尚未提供该月的补丁程序的更新
  或者,Google可能只显示两个补丁级别中的最小值(可能还有引导加载程序和内核补丁级别),以便更准确地向用户显示其设备所使用的安全补丁。我们还没有确认这个补丁背后的意图,但小编希望能尽快找到答案。
  至少,这将有使用高音通用系统映像(GSI)和其他基于AOSP的定制ROM的用户,因为通常定制ROM只提供框架更新而不提供在每月的安全公告中提到的所有供应商补丁以及引导加载程序和内核补丁,这种不匹配会导致用户产生混淆,因为他们认为他们正在运行最新的补丁程序,而实际上根据最新的每月安全公告他们的设备都只在进行一部分的补丁修

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册nexus中文网

x
回复

使用道具 举报

 楼主| 发表于 2018-4-15 13:15:37 | 显示全部楼层

嘻嘻嘻
回复 支持 反对

使用道具 举报

本版积分规则

快速回复 返回顶部 返回列表