Security patch что это
Что такое обновления безопасности Android и почему они важны
Обновления — частая тема, когда дело касается операционной системы Android. На самом деле существуют разные типы обновлений Android, одно из которых — «Обновление безопасности». Чем отличаются эти обновления и почему они так важны?
В мире Android существует три основных типа обновлений: большие ежегодные обновления прошивки с увеличением номера версии, более мелкие ежемесячные обновления безопасности и «Обновления системы Google Play», которые являются еще одним типом обновления безопасности.
Что такое обновление безопасности Android
Обновление безопасности Android — это обновление, которое в первую очередь направлено на повышение безопасности и исправление ошибок. Эти обновления обычно не содержат функций, которые Вы могли бы заметить при повседневном использовании.
Как упоминалось ранее, Android обычно получает одно большое обновление версии каждый год, но этого недостаточно, чтобы оградить его от угроз и ошибок безопасности.
Когда выйдет новая версия Android, с ней неизбежно возникнут проблемы. Это просто реальность продуктов, созданных людьми. Однако Google не хочет отправлять полное обновление системы только для устранения некоторых ошибок. Вместо этого они исправят проблемы с помощью небольшого обновления.
Как и следовало ожидать из названия, эти обновления также очень важны по соображениям безопасности. Некоторые ошибки представляют собой угрозу безопасности, и их можно быстро устранить с помощью обновления. Обновления безопасности также могут исправить уязвимости от новых атак, которые могут возникнуть.
Эти обновления иногда называют «патчами». Это небольшие исправления, которые влияют на работу всей операционной системы.
Почему обновления безопасности Android важны
Вы можете не заметить каких-либо необычных новых функций при установке обновления безопасности Android, но, тем не менее, они очень важны. Программное обеспечение редко не содержит ошибок. Оно постоянно нуждается в обслуживании и исправлениях, чтобы поддерживать его в безопасности.
Эти небольшие обновления важны, поскольку они в совокупности исправляют ошибки и исправляют дыры в безопасности.
Ранее мы упоминали, что небольшие обновления могут быстро устранить новые уязвимости, и это тоже очень важно. Вам не нужно ждать обновления полной версии, чтобы исправить явную угрозу безопасности. Важно скачать эти обновления как можно скорее.
Как проверить наличие обновлений безопасности Android
Имея это в виду, Вы, вероятно, задаетесь вопросом, как проверить, установлено ли у Вас последнее обновление безопасности.
Сначала проведите вниз от верхнего края экрана (один или два раза, в зависимости от производителя Вашего устройства). Затем коснитесь значка шестеренки, чтобы открыть меню настроек.
Вверху экрана Вы увидите раздел «Статус защиты». Найдите «Обновление системы безопасности» и проверьте дату.
Очень велика вероятность, что у Вас не будет обновления за текущий месяц. К сожалению, многие Android-устройства отстают в этом плане. Если у Вас новый телефон Samsung или Google Pixel, Вы должны получать последние обновления безопасности.
Вы можете проверить наличие обновлений, выбрав «Обновление системы безопасности» и нажав кнопку «Проверка обновлений».
Почему на моем телефоне Android не установлены последние обновления безопасности
В идеальном мире каждое устройство Android получит последнее обновление безопасности одновременно. К сожалению, этого не происходит.
Каждый месяц Google вносит исправления и публикует обновления безопасности для своих партнеров (Samsung, LG, OnePlus и т. д.). Затем эти компании должны утвердить исправления, добавить свои собственные и выпустить их на устройства.
Вот почему телефоны Pixel обычно сразу получают обновления безопасности. Google контролирует весь процесс. Остальные устройства зависят от производителя. Samsung хорошо обновляет свои флагманские устройства, но некоторые телефоны низкого уровня могут получать обновления с задержкой.
Перед покупкой телефона Android найдите время, чтобы проверить, что производитель говорит об обновлениях. Samsung, например, обещает четыре года обновлений для многих своих устройств. Держитесь подальше от производителей с плохой репутацией.
Security patch что это
При выборе устройства, немаловажную роль играет репутация производителя: период поддержки устройств, даже не совсем новых, является не последним критерием, и признаком хорошего тона. При этом производитель устраняет уязвимости, и возможно повышает производительность устройства, что делает его в глазах пользователя не только надежным, но иногда и единственным приемлемым выбором (как в случае всеми известной компании).
К тому же, даже если ваше устройство показывает последние обновления патчей безопасности, это не всегда означает, что так и есть, что было подтверждено в исследовании https://xakep.ru/2018/04/16/android-patches/
Так или иначе, сами пользователи иногда модифицируют прошивку своих устройств, чтобы получить последние обновления безопасности https://forum.xda-deve…-updates-twrp-t3523026
Им в этом помогают энтузиасты, создающие и обновляющие кастом прошивки для их девайсов, которые не сложно установить, следуя инструкции (при наличии компьютера и навыков конечно)
И в третьих, в новейшей Q OS от Google сделали автоматическое обновление патчей безопасности android 10 прямо через play market.
https://www.xda-develo…security-update-issue/
Может быть кто то имеет устройство в котором это реализовано и он сможет поделиться своим опытом.
Было бы не плохо, создать инструкцию, или даже универсальный автоматизированный скрипт, для интеграции обновлений android security path level через magisk или twrp.
Поэтому кто хочет, может участвовать.
(Зарезервировано на всякий случай)
Тема про ручное или полу автоматическое обновление системы безопасности андроид, то есть в конечном итоге должны появиться гайды и инструкции как обновить, а так де конечно отзывы, тех кто обновил и у кого может быть, не получилось.
кто знает как на миюи обновить патч безопасности андроид?
Вроде бы где то писали что обновы безопасности на 10 андроиде будут сами приходит через маркет, а на деле в миюи как я понял это не реализовано, так вот, как обновить android security path level?
Вообще, как вы считаете, стоит ли беспокоиться что безопасность андроида давно не обновлялась?
Ага, гугл сам там патчит, и Ромы кастомные на дату сборки обычно гугловские патчи содержат, а вендор и кернел должны сами производители или маинтайнеры обновлять
Так что вообще не вижу проблемы, если у кого-то какой-то кастом не обновлялся давно, то есть интсоукция по сборке gsi образов для любой прошивки в теме одноимённой на форуме
Инструкция есть в теме Разработка GSI
На базе скрипта от phhusson
А вот откуда можно скачать патчи, но как интегрировать, все ещё не нашел инструкцию. Особенно чтобы без потери данных например через тврп или магиск.
Всплывают нюансы, и как во всем этом разобраться?
Таким образом вижу примерно такое развитие событий, может быть кто то напишет инструкцию, или ее придется писать кому то другому:
Ну для начала, нужно узнать о совместимости патчей безопасности с установленным андроидом, как я понял, описанное в той теме относится к GSI системам.
Вот.
После того как стало известно о совместимости патча, как я понял, нужно пересобрать из исходников, и поэтому нужно знать где их взять, как создать патч, чтобы без сброса данных, ну и тому подобное.
fsct2k,
Про уязвимости можно больше официальной инфы найти, например пример того, как стоковое устройство без модификаций оказывается под полным контролем хакера, который получает полные системные права.
И это лишь об известных уязвимостях. Но ведь каждый год находят новые критические уязвимости. Складывается ощущение, что их там специально оставляют. И кто вовремя вышедшую заплатку не поставит, сталкивается с повышенным риском взлома.
А вот про уязвимости обхода magisk что можно найти? Рут то магиск менеджер выдаёт, причем можно запретить всем новым запросам поручение рут прав, и для приложения это будет означать почти полное их отсутствие. Ну может оно узнать допустим что телефон рутован, но без выданных прав что оно может? Хотите сказать что магиск куплен и в него встроен бекдор? Это уже похоже на правду.
Почему ежемесячные обновления безопасности Android — это фарс
Привет. Меня зовут Иван, и я апдейт-диссидент. После этого должны были послышаться вялые хлопки, но их нет. Скорее всего потому, что многим не понятно слово, которым я себя обозвал. Если вы из их числа, не пытайтесь искать определение этого термина в интернете, потому что его там нет. Я сам придумал так себя называть в тот момент, когда понял, что обновления — это один из самых больших разводов в истории человечества наряду со шведским столом и брошенной наспех бывшему однокласснику, встретившемуся на улице, фразой “созвонимся”.
Обновлений не существует. Вот доказательства
Я уже как-то высказывал своё мнение относительно новых версий Android. Тогда я доходчиво объяснил, что особенного смысла в том, чтобы гоняться за свежими обновлениями операционной системы нет по нескольким причинам. Во-первых, они могут попросту испортить то, что и так исправно работало, суля больше проблем, чем пользы. Во-вторых, пожалуй, все нововведения апдейтов можно получить из стороннего софта, с которого Google и другие компании вроде Apple нагло списывают новые функции для своих ОС. С тех пор моя позиция не изменилась, а лишь усугубилась, ведь есть ещё обновления безопасности.
Зачем нужны обновления
Обновления безопасности — это потрясающе удобная для Google штука. Мало того, что компания может каждый месяц отчитываться о проделанной работе по поддержанию актуальности миллионов Android-смартфонов, по сути, не реализовав никаких нововведений, так ещё сами апдейты, о которых идёт речь, имеют довольно сомнительную природу и содержание. Во всяком случае, у меня они вызывают ощущение какой-то подделки.
Каждый месяц Google выпускает обновления безопасности и объявляет, что исправила n-ное количество уязвимостей. Обычно это некруглое, но довольно существенное число. Чаще всего в пределах от 20 до 30. Классно, подумают многие. Google заботится о своих пользователях и неустанно корпеет над Android, устраняя накопившиеся баги и бреши в системе безопасности. Но, постойте-ка. У вас никогда не возникало вопроса, откуда каждый месяц в Android, который получает новую версию раз в год, берётся такое количество уязвимостей?
Обновления-пустышки
Это может прозвучать надуманно и даже глупо, но меня не покидает мысль о том, что большая часть обновлений безопасности, которые выпускает Google, — это пустышки. В конце концов, нет ничего сложного в том, чтобы выпустить апдейт, который просто меняет билд операционной системы, но при этом не содержит в себе ровным счётом никаких изменений. Некоторые производители так и делали, пока всё это не стало достоянием общественности.
Читайте также: Google выпустила полезное обновление Google Play. Что изменилось
Возможно, уязвимости содержатся в самих обновлениях безопасности? Дескать, одно лечим, другое калечим. Но какой тогда вообще в них смысл, если каждый новый апдейт исправляет 20-30 багов, а на их место приносит ещё 20 или 30. Не проще ли в таком случае вообще откатить билд операционной системы к исходному и больше его не обновлять, чтобы не делать в ней новые дыры, подвергающие пользователей опасности? Другого объяснения тому, откуда в Android появляются новые уязвимости, я не нахожу.
Android небезопасен
Наверное, возможен и другой вариант. Допустим, что в Android действительно есть все эти уязвимости, однако их так много, что каждый месяц разработчики Google исправляют по 20-30 брешей и не могут остановиться, потому что им нет конца и края. Но тогда у меня для вас плохие новости, друзья. Если Android буквально изрешечена уязвимостями и багами, нам с вами не сдобровать. Ведь в таком случае любой хакер сможет копнуть чуть глубже, найти брешь и, воспользовавшись ей, взломать наши смартфоны. А если это так, то Google уже проиграла.
Сентябрьское обновление для Android состоит из трех наборов патчей для 55 уязвимостей
Linux для хакера
Компания Google представила сентябрьский набор патчей для Android. На этот раз обновления были разделены сразу на три категории: 19 исправлений адресованы уязвимостям на уровне ОС и приложений, еще 26 патчей устраняют 28 уязвимостей, преимущественно на уровне драйверов, а еще два патча были выпущены отдельно от остальных и адресованы проблеме QuadRooter, которой подвержены устройства, работающих на базе железа Qualcomm.
Год назад Google изменила свою политику обновлений, и теперь в настройках ОС можно увидеть так называемый «Android security patch level», то есть уровень пропатченности устройства. Затем, в мае 2016 года, исправления, ранее выходившие под общим названием Nexus Security Bulletin, были переименованы в Android Security Bulletin, так как обновления все же адресуются всем Android-устройствам, а не только собственным девайсам компании. В июле 2016 года переименованный бюллетень был разделе надвое: одна часть исправлений теперь была предназначена для файлов ядра Android, тогда как вторая содержала патчи для драйверов и компонентов, характерных для определенных устройств.
В этом месяце Goolge, по сути, добавила еще одну категорию, третью. Теперь проверка Android security patch level может вызвать у пользователя недоумение и вот почему. Сентябрьские патчи первой категории получат все пользователи, — это уровень пропатченности 2016-09-01. Патчи второй категории получат только пользователи некоторых устройств со специфическими драйверами, и это уровень 2016-09-05. Но теперь есть еще и третья категория патчей, которая и вовсе предназначена только для пользователей определенного железа и чипсетов, и это уровень 2016-09-06.
Первый, общий набор патчей устраняет 25 уязвимостей, включая две критические. Исправления, в частности, уже в который раз адресованы многострадальному компоненту Media Server, который напрямую связан с уязвимостью Stagefright. Также критическая RCE-уязвимость исправлена в LibUtils.
| Проблема | CVE | Уровень опасности | Опасно для Nexus |
| RCE в LibUtils | CVE-2016-3861 | Критический | Да |
| RCE в Mediaserver | CVE-2016-3862 | Критичсеский | Да |
| RCE в MediaMuxer | CVE-2016-3863 | Высокий | Да |
| Эскалация привилегий в Mediaserver | CVE-2016-3870, CVE-2016-3871, CVE-2016-3872 | Высокий | Да |
| Эскалация привилегий в device boot | CVE-2016-3875 | Высокий | Нет* |
| Эскалация привилегий в Settings | CVE-2016-3876 | Высокий | Да |
| DoS в Mediaserver | CVE-2016-3899, CVE-2016-3878, CVE-2016-3879, CVE-2016-3880, CVE-2016-3881 | Высокий | Да |
| Эскалация привилегий в Telephony | CVE-2016-3883 | Умеренный | Да |
| Эскалация привилегий в Notification Manager Service | CVE-2016-3884 | Умеренный | Да |
| Эскалация привилегий в Debuggerd | CVE-2016-3885 | Умеренный | Да |
| Эскалация привилегий в System UI Tuner | CVE-2016-3886 | Умеренный | Да |
| Эскалация привилегий в Settings | CVE-2016-3887 | Умеренный | Да |
| Эскалация привилегий в SMS | CVE-2016-3888 | Умеренный | Да |
| Эскалация привилегий в Settings | CVE-2016-3889 | Умеренный | Да |
| Эскалация привилегий в Java Debug Wire Protocol | CVE-2016-3890 | Умеренный | Нет* |
| Утечка данных в Mediaserver | CVE-2016-3895 | Умеренный | Да |
| Утечка данных в AOSP Mail | CVE-2016-3896 | Умеренный | Нет* |
| Утечка данных в Wi-Fi | CVE-2016-3897 | Умеренный | Нет* |
| DoS в Telephony | CVE-2016-3898 | Умеренный | Да |
*Проблема не распространяется на устройства Nexus с установленным Android 7.0 и всеми доступными обновлениями.
Второй набор, самый большой из вышедших, представлен 26 бюллетенями для 28 различных уязвимостей, включая четыре критические. Все критические исправления связаны с эскалацией привилегий в ядре и адресованы проблемам в подсистемах netfilter и networking, а также багу USB-драйвере. Прочие исправления, получившие высокий уровень важности, тоже преимущественно устраняют уязвимости, связанные с повышением привилегий в различных драйверах. Равно как и в прошлом месяце, собственные патчи получили продукты Qualcomm, а также Nvidia и Synaptics.
| Проблема | CVE | Уровень опасности | Опасно для Nexus? |
| Эскалация привилегий в security подсистеме ядра | CVE-2014-9529, CVE-2016-4470 | Критический | Да |
| Эскалация привилегий в networking подсистеме ядра | CVE-2013-7446 | Критический | Да |
| Эскалация привилегий в netfilter подсистеме ядра | CVE-2016-3134 | Критический | Да |
| Эскалация привилегий в USB-драйвере ядра | CVE-2016-3951 | Критический | Да |
| Эскалация привилегий в sound подсистеме ядра | CVE-2014-4655 | Высокий | Да |
| Эскалация привилегий в ASN.1 decoder ядра | CVE-2016-2053 | Высокий | Да |
| Эскалация привилегий в Qualcomm radio interface layer | CVE-2016-3864 | Высокий | Да |
| Эскалация привилегий в драйвере Qualcomm subsystem | CVE-2016-3858 | Высокий | Да |
| Эскалация привилегий в networking драйвере | CVE-2016-4805 | Высокий | Да |
| Эскалация привилегий в драйвере Synaptics touchscreen | CVE-2016-3865 | Высокий | Да |
| Эскалация привилегий в драйвере Qualcomm camera | CVE-2016-3859 | Высокий | Да |
| Эскалация привилегий в драйвере Qualcomm sound | CVE-2016-3866 | Высокий | Да |
| Эскалация привилегий в драйвере Qualcomm IPA | CVE-2016-3867 | Высокий | Да |
| Эскалация привилегий в драйвереQualcomm power | CVE-2016-3868 | Высокий | Да |
| Эскалация привилегий в драйвере Broadcom Wi-Fi | CVE-2016-3869 | Высокий | Да |
| Эскалация привилегий в ядре eCryptfs filesystem | CVE-2016-1583 | Высокий | Да |
| Эскалация привилегий NVIDIA в ядре | CVE-2016-3873 | Высокий | Да |
| Эскалация привилегий в драйвере Qualcomm Wi-Fi | CVE-2016-3874 | Высокий | Да |
| DoS в networking подсистеме ядра | CVE-2015-1465, CVE-2015-5364 | Высокий | Да |
| DoS в системе ядра ext4 file | CVE-2015-8839 | Высокий | Да |
| Утечка данных в драйвере Qualcomm SPMI | CVE-2016-3892 | Умеренный | Да |
| Утечка данных в кодеке Qualcomm sound | CVE-2016-3893 | Умеренный | Да |
| Утечка данных в компоненте Qualcomm DMA | CVE-2016-3894 | Умеренный | Да |
| Утечка данных в networking подсистеме ядра | CVE-2016-4998 | Умеренный | Да |
| DoS в networking подсистеме ядра | CVE-2015-2922 | Умеренный | Да |
| Уязвимости в компонентах Qualcomm | CVE-2016-2469 | Высокий | Нет |
Третий набор состоит всего из двух патчей, одна из проблем имеет критический статус опасности, а вторая просто высокий. Оба бага (CVE-2016-5340 и CVE-2016-2059) относятся к проблеме QuadRooter, о которой официально рассказали в начале августа 2016 года на конференции DEF CON. Напомню, что по оценкам экспертов, QuadRooter представляет опасность для почти 900 миллионов Android-устройств, работающих с железом Qualcomm. В комплексе все четыре уязвимости QuadRooter позволяют злоумышленнику получить полный контроль над устройством жертвы. Тогда как уязвимости CVE-2016-2503 и CVE-2016-2504 были устранены еще минувшим летом, до оставшихся двух проблем очередь дошла только сейчас.
Как найти патчи безопасности на Android и установить их
Безопасность является одним из аспектов, который больше всего беспокоит пользователей и на нашем Android телефоны это то, на чем мы сосредоточены. Чтобы поддерживать уровень безопасности на нашем мобильном телефоне, Google выпускает обновление для системы безопасности ежемесячно, что позволяет нам искать патчи безопасности на Android и устанавливать их на свой мобильный очень простым способом.
Шаги, чтобы найти патчи безопасности на Android
Если на нашем мобильном телефоне не появилось исправление безопасности, мы можем купить в Центр безопасности Android список брендов, с которых мы получим доступ к патчам безопасности, опубликованным каждым брендом. Не все бренды публикуются ежемесячно и становятся ежеквартальными или нет.
Проверьте исправление безопасности на Android
Чтобы узнать, какое исправление безопасности у нас на мобильном, нам нужно только получить доступ Параметры > Безопасность и мы увидим информацию о дата патча что мы установили. Эту информацию можно сопоставить с информацией, предлагаемой центром безопасности Android, как мы ранее вам показывали.
Установить их очень просто
Как только появится новое доступное исправление безопасности, вам просто нужно нажать на кнопку загрузить и установить. Процесс обычно не занимает много времени, и нам остается только беспокоиться, что наш мобильный телефон батарея более 50% или подключен к источнику питания.
Когда обновление будет завершено, запустится мобильное устройство, и, хотя в большинстве случаев мы не заметим различий, мы обнаружим изменения в системе безопасности, которые стремятся обеспечить максимальную защиту для пользователя.
Ваши данные и информация не находятся в опасности
Вы можете установить последний патч, изменив ПЗУ
Для этого нам сначала нужно будет разблокировать загрузчик нашего смартфона, а затем завершите процесс с помощью ПЗУ, за которым стоит большое сообщество, чтобы не рисковать повреждением нашего смартфона. Мы должны помнить, что если мы будем следовать этим шагам, наш смартфон потеряет гарантию производителя и мы будем единственными ответственными за это, поэтому мы рекомендуем делать это только на старых мобильных телефонах, которые больше не получают обновлений, и мы обеспокоены тем, что они могут пострадать.