Perché Google non può semplicemente passare a inviare aggiornamenti di sicurezza Android direttamente agli utenti?

Naviga le tue risposte
10

Va bene, inizierò con la domanda e poi elaborerò un po 'di seguito. È:

Perchè il produttore mondiale di sistemi operativi per smartphone non Apple, Google, ha ancora non adottato un modello diretto di distribuzione degli aggiornamenti di sicurezza per Android, invece di attenersi all'attuale , ovviamente, l'approccio profondamente errato di affidarsi a produttori di telefoni e operatori wireless per testarli rapidamente, approvarli e distribuirli? Quanto sarebbero sostanziali gli ostacoli tecnici nello spostamento di Android nel modello di aggiornamento diretto se Google volesse sinceramente farlo?

Quindi, ieri sono emerse alcune notizie non positive riguardo al divertente set Stagefright di bug per la sicurezza dei componenti media player in Android. Innanzitutto alcuni nuovi difetti annunciati in lo stesso componente sembra estendere l'ambito dei telefoni Android interessati a praticamente tutti quelli che sono stati realizzati e amp; venduto. In secondo luogo, ci sono apparentemente ancora più difetti nello stesso componente che è stato divulgato a Google e che sono in preparazione per l'annuncio pubblico a breve, compresi alcuni che avranno un'etichetta "critica". Non ho familiarità con la scena della sicurezza di Android, ma questo sembra certamente essere considerato l'evento di sicurezza più importante che Android abbia dovuto affrontare finora.

Naturalmente, la scoperta di vulnerabilità terribili, su qualsiasi piattaforma, porta sempre alla domanda successiva: "Quando verrà riparato il mio dispositivo?" Sfortunatamente, il modo in cui le cose funzionano ora con gli aggiornamenti della sicurezza di Android - Google li spinge a produttori e operatori hardware, che devono acconsentire a loro e essere disposti a distribuire gli aggiornamenti agli utenti: la stragrande maggioranza dei 1 miliardi + Gli utenti Android possono aspettarsi solo una delle due risposte:

- Per i più fortunati: saranno mesi. (Questo report , anch'esso collegato in precedenza, riporta una stima che di solito impiega da 9 a 18 mesi le patch per ottenere da Google il compito di testare e approvare varie autorizzazioni al telefono di un utente. Ora, si assume che con Stagefright che sarà affrettato fino a un certo punto, ma ancora ...)

- Per gli sfortunati: mai. (Alcuni produttori di Android forniscono a malapena qualsiasi servizio di aggiornamento post-vendita per i loro telefoni, altri sembrano avere un limite di tempo di supporto non scritto di forse un anno, o forse due, dopo di che l'utente è fuori al freddo.)

Tutto ciò solleva la domanda: perché Google non può fare solo quello che fanno le aziende che rendono i sistemi operativi per altri computer - PC e server - per esempio-- e bypassare OEM e service provider per fornire aggiornamenti di sicurezza direttamente a l'utente?

Ora, ovviamente, ci sono probabilmente sia aspetti tecnici che aspetti di business e di questo. Sto pensando più alla linea degli aspetti tecnici (anche se ammetto che a volte i due sono meno facili da separare gli uni dagli altri di quanto si possa pensare). In che modo potrebbe passare a un processo di Google emettere direttamente gli aggiornamenti di sicurezza, ma non necessariamente spedire direttamente qualsiasi aggiornamento che implicasse qualcosa oltre a correggere le vulnerabilità della sicurezza - causare problemi di compatibilità hardware e / o software che potrebbero essere così fastidioso per gli utenti, i produttori di telefoni, i gestori e Google stesso che quel fattore potrebbe superare il valore di ottenere queste patch molto più rapidamente e molto, molto più ampiamente di quanto non siano in grado di fare con il sistema attuale? O è davvero una schiacciata a favore di Google che andrà alla distribuzione diretta, come il 99% dei giornalisti e degli esperti di sicurezza? i commentatori sembrano pensare?

    
posta mostlyinformed 04.10.2015 - 02:30
fonte

2 risposte

32

Il nocciolo del problema è che con poche eccezioni notevoli, ogni telefono viene fornito con una forcella di Android, non con il software scritto da Google. Quindi Google non può trasferire le modifiche ai telefoni Samsung più di quanto FreeBSD possa apportare modifiche ai Macbook di Apple.

Android è Open Source, che è un po 'insolito. Questa è la prima volta che un importante sistema operativo consumer con questa dimensione di userbase (1,4 miliardi di utenti e in rapida crescita) è stato un progetto open source piuttosto che uno centralizzato. Siamo abituati all'idea che il creatore del sistema operativo sia in grado di assumersi la responsabilità di aggiornarlo. E come evidenziato da questa domanda, in qualche modo aspettiamo Google di essere in grado di controllare Android nello stesso modo in cui Microsoft controlla Windows e Apple controlla iOS.

Tuttavia, consentendo a società come Samsung e Sony e Motorola di inviare la propria versione modificata di Android, Google rinuncia a tale controllo in modo tale da non riuscire a recuperarlo. Samsung poi assume non solo il controllo del proprio gusto di Android, ma anche la responsabilità per tenerlo aggiornato. E permettendo a Verizon di biforcare la versione di Samsung, Samsung perde quindi controllo e responsabilità ora a Verizon.

In teoria tutto questo funziona; teoricamente Verizon sarà altrettanto responsabile e affidabile di Google. Tranne quando non lo sono.

Quindi ci sono tre possibili soluzioni. O:

  • I produttori potrebbero iniziare ad assumersi maggiori responsabilità per i loro sistemi operativi. Poiché l'Android di Samsung appartiene a Samsung, non arriviamo da nessuna parte a meno che Samsung non prenda qualche iniziativa per tenerlo aggiornato. Ciò potrebbe richiedere una certa collaborazione con aziende come Verizon se Samsung ha permesso loro di inserire il codice. Questo è più o meno lo status quo, ma con più illusioni.

  • Google potrebbe riprendere il controllo di Android. Passando a una licenza closed-source, potrebbero imporre restrizioni di licenza, come richiedere ad aziende come Samsung di inviare patch in un periodo di tempo limitato. Naturalmente, se Google avesse seguito questa strada, non ci sarebbero state grida su come "malvagio" e "anti-consumatore" fossero, nonostante il fatto che siano letteralmente i unici maggiori giocatore che è Open Source per cominciare. Politicamente questo è probabilmente un no-go.

  • Aziende come Verizon e Samsung potrebbero volontariamente restituire il controllo a Google senza essere obbligate a farlo da un accordo di licenza. Questo è il tipo di accordo utopico in cui le aziende decidono di fare la cosa giusta di loro spontanea volontà. Fino a poche settimane fa, questa era la meno probabile delle tre. Ma dal disastro del palcoscenico, molte aziende si sono impegnate a fare più o meno esattamente questo.

Quindi vedremo dove andrà nei prossimi mesi e anni.

    
risposta data 04.10.2015 - 05:49
fonte
2

È stato un grosso problema fino a poco tempo fa, ma

sta cambiando in questo momento.

Le nuove versioni di Android (O e P) presentano qualcosa chiamato Project Treble .

Dalla pagina collegata:

One thing we've consistently heard from our device-maker partners is that updating existing devices to a new version of Android is incredibly time consuming and costly.

With Android O, we've been working very closely with device makers and silicon manufacturers to take steps toward solving this problem, and we're excited to give you a sneak peek at Project Treble, the biggest change to the low-level system architecture of Android to date.

L'idea generale è di separare il livello di compatibilità del fornitore dal resto del sistema. I nuovi aggiornamenti di Google sul sistema sono compatibili con tutti i telefoni che supportano Treble, senza alcun lavoro aggiuntivo da parte del fornitore.

    
risposta data 29.10.2018 - 18:11
fonte

Leggi altre domande sui tag

Il Raspberry Pi è vulnerabile all'iniezione oltre la scheda SD? Gli indirizzi e-mail compromessi sono problemi di rete locale o server web? [chiuso]