Sekojiet zdnet: Pievienojiet mūs kā vēlamo avotu Google.
ZDNET galvenie pārņemšana
- Google var mainīt, kā darbojas Android drošības atjauninājumi.
- Wager lielāki plākstera cikli var dot hakeriem vairāk laika.
- “Augsta riska pirmais” modelis varētu pilnveidot OEM plāksterus.
Google apsver iespēju veikt drošības ielāpu atjaunināšanas ieviešanas remontu, lai uzlabotu Android drošību.
Uz risku balstīta atjaunināšanas sistēma
Atbilstoši Android pilnvarajaunā sistēma-saukta par “uz risku balstītu atjaunināšanas sistēmu” (RBU)-turpinās aizsargāt Android lietotājus, vienlaikus racionalizējot oriģinālo aprīkojuma ražotāju (OEM) plākstera procedūras.
Arī: Jūsu Android tālruņa visspēcīgākā drošības funkcija ir paslēpta un izslēgta pēc noklusējuma – ieslēdziet to tagad
Pašlaik Google darbojas Android drošības biļetenos (ASB), uzskaitot labojumus, kas ietekmē Android operētājsistēmu. Android partneri un oriģinālo iekārtu ražotāji tiek informēti par visiem jautājumiem vismaz mēnesi pirms publiskās izlaišanas.
Tā vietā, lai izmestu katru pieejamo labojumu visam, sākot no augsta riska, kritiskās ievainojamības līdz zema riska kļūdām ikmēneša ASB, Google var pievērsties tam, lai koncentrētos uz nosūtīšanas atjauninājumiem kritiskām reālās pasaules problēmām ikmēneša plākstera ciklos. Tātad, ja neaizsargātība tiek aktīvi izmantota savvaļā vai tiek uzskatīta par ārkārtēju risku lietotāju privātumam un drošībai, tā tiks izlabota ātrāk nekā zema riska, piemēram, pakalpojumu atteikuma atteikšanās no atmiņas.
Arī: Google nogalina Android tālruņa funkciju, kas viņu reiz padarīja populārus – un ir liels iemesls, kāpēc
Tomēr, kā atzīmēja publikācija, pastāv atšķirība starp oficiālu “kritisku” reitingu, ko izdod CVSS vērtējums CVSS vērtējums un to, ko tehnoloģiju gigants varētu uzskatīt par augstu risku. Tas nozīmē, ka drošības problēma ar zemu CVSS punktu skaitu, kas tiek izmantots plašākā izmantošanas ķēdē, teorētiski var iekļaut ikmēneša atjauninājumos.
Tas nozīmē, ka citas, “zema riska” drošības problēmas varētu pāriet uz ceturkšņa ASB plākstera cikliem.
Ko tas nozīmē oriģinālo iekārtu ražotājiem?
OREMS operētājsistēmas operētājsistēmai izmanto OEM, taču tas nenozīmē, ka tie ievēro tos pašus drošības plākstera atjaunināšanas ciklus, un daudzi pārvalda savus biļetenus. Šķiet, ka Google vēlas samazināt milzīgo labojumu skaitu, kas jāizvieto Android tālruņos, kas varētu nozīmēt, ka katru mēnesi jāpārbauda un jāizvieto mazāk ielāpu.
Ja vispirms tiek risinātas augsta riska kļūdas, tas var dot oriģinālajiem ražotājiem vairāk elpošanas telpas un vairāk kontrolēt, kādus labojumus viņi vēlas izvietot un kad.
Arī: Es joprojām dodu priekšroku manam Google Pixel 9 Professional salīdzinājumā ar dārgiem flagmaņiem – un tas nav pat tuvu
Tomēr negatīvie ir tas, ka var rasties kavēšanās ar drošības problēmu risināšanu, kas varētu dot draudiem vairāk laika, lai uzbrukumos izmantotu drošības trūkumus. Pastāv arī dangers, ka gaidāmās izlaidumus var noplūdināt, dodot uzbrucējus, kas brīdina par to, kādas kļūdas ir jānovērš un kad.
Ceturkšņa ASBS, iespējams, būs daudz lielāks, un tas jau tiek parādīts, ja ņem vērā Google Septembris ASB, kurā bija vairāk nekā 100 ievainojamību labojumi. Salīdziniet šo Jūlijs vai Augustskurā biļetenos nebija uzskaitītas nevienas vai ļoti maz kļūdu.
“Android un Pixel Safety Biļeteni tiek publicēti katru mēnesi,” ZDNet sacīja Google pārstāvis. “Lai lietotāji būtu drošībā, mēs veidojam jaudīgu drošību dziļi Android fondā. Android aptur lielāko neaizsargātības izmantošanu avotā ar plašu platformas sacietēšanu, piemēram, mēs izmantojam atmiņu-drošas valodas rūsas un uzlabotu pretizmantošanas aizsardzību. Android un pikseļu nepārtraukti pievēršas zināmām drošības ievainojamībām.”
Arī: 7 veidi, kā bloķēt tālruņa drošību – pirms nav par vēlu
Saistītās ziņās, sākot ar nākamo gadu, izstrādātāji aiz lietotnēm, kas instalētas Sertificēts android Ierīces būs jāpārbauda. Jo īpaši sānu ielādēšana – tunelis, kas lietotājiem ļauj apiet Google Play un instalēt lietotnes no nepārbaudītiem avotiem – tiks ierobežota, un Google saka, ka tam vajadzētu ļaut uzņēmumam samazināt viltotu un krāpniecisku programmatūru.
