Google: Einhaltung von Sicherheitspatches

  • 1 Antworten
  • Neuester Beitrag
Diskutiere Google: Einhaltung von Sicherheitspatches im Android Allgemein im Bereich Betriebssysteme & Apps.
AlcatelOT997D

AlcatelOT997D

Stammgast
Google made a program to test security patch compliance on Android devices

Übersetzt mit www.DeepL.com/Translator
Google hat ein Programm entwickelt, um die Einhaltung von Sicherheitspatches auf Android-Geräten zu testen.
Sicherheit, vor allem wegen der starken Fragmentierung der Software, ist eines der größten Probleme mit dem Android-Ökosystem. Googles eigene Pixel-Smartphones sind der Goldstandard für sichere Android-Smartphones, aber Google will nicht nur seine eigenen Geräte sichern. Google hat Maßnahmen wie Project Treble eingeführt, daran gearbeitet, den Linux-Kernel LTS von 2 auf 6 Jahre zu verlängern, das Android Enterprise Recommended Program eingeführt und sogar die OEM-Vereinbarungen überarbeitet, um regelmäßige Sicherheitspatches zu installieren. Aber in einer heute veröffentlichten Ankündigung hat das Unternehmen angekündigt, dass es an einem neuen Tool gearbeitet hat, um sicherzustellen, dass die Hersteller von Smartphones die monatlichen Sicherheits-Patch-Bulletins einhalten.

Bei Google I/O kündigte David Kleidermacher, Head of Android Platform Security, an, dass die Android-Partner von Google regelmäßige Sicherheitsupdates durchführen müssen. In der heute veröffentlichten Ankündigung bekräftigte Google, dass OEMs mindestens einmal alle 90 Tage ein Sicherheitspatch-Update durchführen sollten, während Android Enterprise Recommended-Geräte diese mindestens einmal alle 90 Tage erhalten müssen. Monatliche Sicherheitsupdates werden für kommerziell verkaufte bzw. Enterprise-Geräte empfohlen. Android One-Geräte sind jedoch erforderlich, um monatliche Sicherheits-Patch-Updates zu erhalten.

Aber es scheint nicht genug zu sein, ein Update herauszubringen und es einen Tag zu nennen, um die Sicherheit der Benutzer zu gewährleisten. Dies wurde bewiesen, als wir Behauptungen über Hersteller hörten, die (vielleicht absichtlich) den Zustand der Sicherheitspatches, die auf ihre Geräte ausgerollt wurden, falsch darstellen. Die Frage ist also, wie stellen wir sicher, dass die OEMs alle Schwachstellen, die in einem monatlichen Sicherheitsbulletin beschrieben werden, patchen? Die Antwort ist, es den OEMs leichter zu machen.

In der Vergangenheit mussten alle Hersteller von Android-Geräten nach dem Zusammenführen der neuesten Framework- und Hersteller-Patches, die in jedem monatlichen Security-Patch-Bulletin beschrieben wurden, manuell testen, ob ihre Patches die Schwachstellen, die die Patches beheben sollten, tatsächlich behoben haben. Dies kann ein langer und nicht ganz einfacher Prozess sein. Jetzt hat Google beschlossen, ihre Arbeit zu erleichtern, da sie ein Programm veröffentlichen, das den Testprozess der Sicherheitspatches automatisiert. Dies wird höchstwahrscheinlich in Form eines automatisierten CTS-Tests (Compatibility Test Suite) geschehen, den die OEMs bestehen müssen, damit ihr aktualisierter Build Google Play Certified wird. Dies wird die Hersteller von Smartphones veranlassen, Sicherheitsupdates zu veröffentlichen, die mit dem Security Bulletin übereinstimmen.

Wir haben Sicherheits-Update-Testsysteme entwickelt, die die Wahrscheinlichkeit von Compliance-Fehlern verringern. Insbesondere haben wir vor kurzem eine neue Testinfrastruktur geliefert, die es Herstellern ermöglicht, automatisierte Tests auf niedrigeren Ebenen des Firmware-Stacks zu entwickeln und einzusetzen, die zuvor auf manuelle Tests beschränkt waren. Darüber hinaus beinhaltet der Android-Build-Genehmigungsprozess nun auch das Scannen von Gerätebildern nach bestimmten Mustern, wodurch das Risiko von Auslassungen reduziert wird.

Google's bestehende Sicherheitsmaßnahmen in Android
Dies ist der neueste Versuch von Google, die Sicherheits-Patch-Probleme im Android-Ökosystem zu beheben. Zuvor gab das Unternehmen bekannt, dass mit der Partnerschaft mit der Linux Foundation, Linux-Kernel's Long-Term-Support (LTS) wird von 2 Jahren auf 6 Jahre erhöht werden. Der Grund für diese Entscheidung war, dass die meisten der freigegebenen Geräte bereits veraltete und abgekündigte Versionen des Linux-Kernels enthielten, weil es so schwierig war, das Gerät innerhalb des 2-Jahres-Fensters zu bauen, zu entwerfen und zu versenden, das die LTS-Kernel von Linux boten. OEMs müssen auch keine Sicherheitspatches aus den neueren Versionen des Linux-Kernels zurückportieren, da der LTS länger ist.

Darüber hinaus erleichterte Project Treble die Veröffentlichung von Sicherheitspatches (und Software-Updates im Allgemeinen) für OEMs. Wie Sie vielleicht schon wissen, modularisiert Project Treble das Android-Betriebssystem-Framework, so dass die Implementierung des neuesten Sicherheitspatches im Hersteller und Kernel unabhängig vom Patchen des Frameworks erfolgen kann.

Was sind die Ziele von Project Treble, dem erweiterten Linux-Kernel LTS und dem automatisierten Testen von Sicherheitspatches? Man könnte denken, dass es mehr Sicherheitsupdates sind, aber es ist eigentlich das Gegenteil. Google will die Sicherheit des Androiden so weit verbessern, dass Sicherheitsupdates selten notwendig sind. Das Unternehmen will aber auch, dass die Hersteller die Updates so schnell wie möglich vorantreiben können. Sicher, als kurzfristige Lösung ist es schön, wenn Hersteller keinen Monat verpassen, ohne das Sicherheitsupdate zu veröffentlichen. Aber auf lange Sicht wäre es schöner, wenn sie nicht so notwendig wären wie heute.
 
Zuletzt bearbeitet:
Ähnliche Themen - Google: Einhaltung von Sicherheitspatches Antworten Datum
2
1
4