Il Mainline del progetto di Google in Android Q contribuirà a velocizzare gli aggiornamenti di sicurezza

La frammentazione della versione di Android è una delle più grandi sfide da risolvere per Google. Mentre gli smartphone Google Pixel sono tra gli smartphone più sicuri sul mercato grazie agli incredibili sforzi degli ingegneri Pixel e AOSP, molti altri smartphone sono vulnerabili agli exploit a causa di versioni obsolete del sistema operativo o livelli obsoleti di patch di sicurezza. L'ultimo rapporto di Gartner mostra che Android 9 Pie è un sistema operativo incredibilmente sicuro, ma solo il 10% circa di tutti gli smartphone è incluso nella versione. Panoramica dei sistemi operativi mobili 2019 e sicurezza dei dispositivi: report di un confronto delle piattaforme. Fonte: Gartner. Via: Google. Google sta affrontando la frammentazione delle versioni con iniziative come Project Treble, un importante rearchitecting di Android che ha come risultato una separazione tra i componenti del framework del sistema operativo Android e i componenti HAL del fornitore, il LTS del kernel Linux esteso, gli aggiornamenti obbligatori delle patch di sicurezza per 2 anni e Android Enterprise Recommended . Alla Google I / O 2019, la società ha annunciato la sua ultima iniziativa per accelerare gli aggiornamenti di sicurezza: Project Mainline per Android Q. Project Mainline: Aggiornamento dei moduli del sistema Q di Android tramite Google Play Negli ultimi mesi, abbiamo rintracciato qualcosa chiamato "APEX "In AOSP. APEX o Android Pony EXpress, è un nuovo tipo di pacchetto simile a un APK. Invece di ospitare un'applicazione Android, APICE ospita una libreria nativa o di classe, un codice precompilato che può essere richiamato da app Android, Hardware Abstraction Layers (HAL) e Android Runtime (ART). Come l'APK, i pacchetti APEX possono essere offerti agli utenti tramite i tradizionali metodi di installazione dei pacchetti in Android: il Google Play Store / package manager o ADB. I moduli APEX possono essere utilizzati molto prima nel processo di avvio dei moduli basati su APK, e sono anche supportati da dm-verity e Android Verified Boot per una maggiore sicurezza. Il montaggio delle immagini del payload nel pacchetto APEX richiede il driver del kernel del kernel di Linux, quindi i dispositivi necessitano del kernel di Linux versione 4.9+. La gestione dei pacchetti APEX richiede il nuovo demone APEX, introdotto con Android Q. Mentre è possibile per i dispositivi che eseguono l'upgrade a Android Q con il kernel 4.4 di Linux per supportare APEX (come il Google Pixel 3), gli OEM devono unire patch aggiuntive per farlo funzionare. Per la maggior parte, solo i dispositivi che si avviano con Android Q supporteranno Project Mainline. Le distribuzioni GNU / Linux sono state a lungo in grado di aggiornare i componenti del sistema indipendentemente dagli aggiornamenti completi del sistema, ma Android ha sempre richiesto un aggiornamento del sistema per aggiornarli. Google ha scelto di non distribuire questi pacchetti utilizzando i tradizionali sistemi di gestione dei pacchetti Linux come dpkg e rpm perché non proteggono i pacchetti post-installazione utilizzando dm-verity. Poiché i produttori di dispositivi impiegano molto tempo per distribuire gli aggiornamenti, molti dispositivi potrebbero disporre di componenti di sistema obsoleti per giorni, settimane o addirittura mesi. Distribuendo questi componenti come pacchetti APEX, Google può evitare la lunga attesa per gli OEM per l'installazione di un aggiornamento di sistema. I vantaggi di Project Mainline. Fonte: Google. Tuttavia, Google non esercita il controllo totale su tutti i componenti del sistema. La società ha collaborato con i suoi partner OEM per selezionare una serie di app di sistema (come APK) e componenti di sistema (come pacchetti APEX) da modulare per migliorare sicurezza, privacy e coerenza per tutti gli utenti con dispositivi che vengono avviati con Android Q. Sebbene Google non abbia rivelato esattamente come sono venuti a creare il set iniziale di componenti di sistema, ci hanno fornito l'elenco dei componenti di sistema sui dispositivi che si aprono con Android Q che sarà aggiornabile da Google: Sicurezza: Codec multimediali, Componenti Media Framework, DNS Resolver, Conscrypt Privacy: UI documenti, Controller permessi, ExtServices Coerenza: dati Fuso orario, ANGLE (sviluppatori attivati), Metadati modulo, Componenti di rete, Accesso a Captive Portal, Configurazione autorizzazioni di rete Aggiornamenti immediati a Conscrypt, alla libreria di sicurezza Java e i componenti multimediali, che "rappresentano quasi il 40% delle vulnerabilità recentemente rattoppate", renderanno i dispositivi Android più sicuri. Gli aggiornamenti al controller delle autorizzazioni miglioreranno la privacy. La standardizzazione dei dati del fuso orario sarà utile per mantenere i dispositivi Android in tutto il mondo sulla stessa pagina ogni volta che un paese decide di cambiare il fuso orario. Inoltre, gli sviluppatori di giochi beneficeranno della standardizzazione di ANGLE. Google sta iniziando con questi componenti di sistema, ma potrebbe aggiungerne altri nelle prossime versioni di Android. Di questi 13 componenti, Conscrypt, Timezone data, Media Codecs e Media Framework Components verranno forniti come pacchetti APEX. Gli altri 9 componenti sono APK di sistema. Sebbene sia APEX che APK siano consegnabili tramite Google Play, l'aggiornamento di un pacchetto APEX richiederà un riavvio. Google non ha condiviso il flusso dell'interfaccia utente per come ciò accadrà, ma una volta che i dispositivi iniziano a lanciare con Android Q probabilmente impareremo ulteriori informazioni sui pacchetti Project Mainline e APEX. Il post Mainline del progetto di Google in Android Q contribuirà ad accelerare gli aggiornamenti di sicurezza che sono apparsi per primi sugli sviluppatori xda.