web-dev-qa-db-ja.com

Androidセキュリティアップデートをユーザーに直接プッシュするように切り替えることができないのはなぜですか?

さて、私は質問から始めて、次に少し詳しく説明します。それは:

Apple以外のスマートフォンオペレーティングシステムの世界的な支配的メーカーであるGoogleが、なぜまだではなく、Androidのセキュリティアップデートを配布するというユーザーに直接のモデルを採用しているので、電話メーカーや無線通信事業者に迅速にテスト、承認、配布を依頼するという、現在明らかに明らかに欠陥のあるアプローチはありますか? Android= Googleが本当にそれを望んでいた場合、直接更新モデルに移行することには、技術的な障害が実際にどれほど重大であるでしょうか?

Androidのメディアプレーヤーコンポーネントのセキュリティバグの楽しいStagefrightセットに関して、昨日いくつかの悪いニュースが出ました。まず、同じコンポーネント内の 新しく発表された欠陥 は、Android影響を受ける電話の範囲を、これまでに製造および販売された事実上すべてのものに拡大しています。2番目に、明らかに さらに多くの欠陥 Googleに開示された同じコンポーネントにあり、それらは「クリティカル」ラベルを取得するものを含め、まもなく公表されるパイプラインにあります。 Androidセキュリティシーンですが、Androidがこれまでに対処しなければならなかった最も重要なセキュリティイベントとして開催されているようです。

もちろん、どのプラットフォームでもひどい脆弱性が発見されると、常に次の質問につながります:「いつ私のデバイスにパッチが適用されるのですか?」残念ながら、Androidセキュリティアップデートでの動作のしくみ--Googleはそれらをハードウェアメーカーや携帯通信会社にプッシュします。ハードウェアメーカーや携帯通信会社はサインオフしてアップデートを配布したいと考えています。ユーザー-10億人以上の大多数+ Androidユーザーは2つの答えのうち1つしか期待できません。

-幸運な人のために:それは数ヶ月になります。 (これも上記にリンクされている report は、パッチがGoogleからテストおよびユーザーの電話へのさまざまな承認を通過するまでに通常9〜18か月かかると推定しています。今、 Stagefrightではある程度急いでいるが、それでも...)

-不運な人のために:決して。 (一部のAndroidメーカーは、販売後のアップデートサービスをほとんど提供していません。他のメーカーは、おそらく1年または2年の不定期のサポート期間制限を設けています。寒いうちに。)

これらすべてが問題を提起します:Googleはなぜ他のコンピューター用のオペレーティングシステム(PCやサーバーなど)を作る会社が何をすることができず、OEMやサービスプロバイダーを迂回してユーザーにセキュリティ更新を直接配信できないのでしょうか?

さて、明らかにこれには技術的側面とビジネス的側面の両方があるでしょう。私は技術的な側面に沿ってもっと考えています(ただし、2つがお互いに分離するのは、思っているより簡単ではない場合があることは認めます)。 Googleがセキュリティアップデートを直接発行するプロセスにどのような方法でアクセスできるか-必ずしもではないセキュリティの脆弱性の修正以外のことを含むアップデートを直接出荷する-ハードウェアおよび/の問題の原因または、ユーザー、電話メーカー、携帯通信会社、Google自体にとって非常に厄介なソフトウェアの互換性であり、現在のシステムよりもはるかに広範囲にこれらのパッチを提供することの価値をはるかに上回っている可能性があります。 ?それとも、セキュリティニュースのレポーターやコメンテーターの99%が考えているように見えるので、それは本当にGoogleが直接配信することを支持するスラムダンクなのでしょうか?

androidgooglepatchingupdatesvulnerability
11
mostlyinformed

問題の核心は、いくつかの注目すべき例外を除いて、すべての電話がGoogleによって作成されたソフトウェアではなく、Androidのforkとともに出荷されることです。したがって、FreeBSDがAppleのMacbookに変更をプッシュできる以上に、GoogleはSamsungの電話に変更をプッシュできない。

Androidはオープンソースですが、これは少し変わっています。この規模のユーザーベース(14億人のユーザーと急速に成長している)の主要なコンシューマーオペレーティングシステムが、集中管理されたプロジェクトではなく、オープンソースプロジェクトになったのはこれが初めてです。私たちは、OSの作成者がそれを更新する責任を負うことができるという考えに慣れています。そして、この質問で証明されているように、GoogleはどうにかしてexpectGoogleを制御できるようにしますAndroid MicrosoftがWindowsを制御するのと同じ方法およびApple iOSを制御します。

しかし、Samsung、Sony、Motorolaなどの企業が自社の独自の修正バージョンをAndroidに出荷できるようにすることで、Googleはその制御を彼らができない方法で放棄しますそれを取り戻す。その後、SamsungはAndroidの独自のフレーバーの制御を引き継ぐだけでなく、それを更新し続けるための責任も引き継ぎます。そして、VerizonがSamsungのバージョンをフォークできるようにすることで、SamsungはcontrolresponsibilityVerizonへ.

理論的にはこれはすべて機能します。理論的にはベライゾンはグーグルと同じように責任と信頼性があります。そうでない場合を除きます。

したがって、考えられる解決策は3つあります。どちらか:

  • メーカーはOSに対してより多くの責任を負うことになるかもしれません。 SamsungのAndroidはSamsungに属しているため、Samsungが更新を維持するために何らかのイニシアチブを取らない限り、私たちはどこにも行きません。 Samsungがコードのフォークを許可した場合、Verizonのような企業との協力も可能になります。これは多かれ少なかれ現状のままですが、より希望的な考え方で行われます。

  • GoogleはAndroidの制御を取り戻すことができます。クローズドソースライセンスに切り替えることにより、Samsungなどの企業に限られた時間内にパッチをプッシュするよう要求するなどのライセンス制限を課すことができます。もちろん、グーグルがこの道を進んだら、彼らが文字通りであるという事実にもかかわらず、彼らがいかに「悪」かつ「反消費者」であったかについての叫びの終わりはありません。 onlyそもそもオープンソースのメジャープレイヤー。政治的にはこれはおそらく立ち入り禁止です。

  • VerizonやSamsungのような企業は、ライセンス契約によって強制されることなく、自発的にGoogleに制御を戻すことができます。これは、企業が自分の自由意志から正しいことを行うことを決定する一種のユートピアの取り決めです。 。数週間前まで、これは3つの中で最も可能性が低いものでした。しかし、舞台騒動が混乱して以来、いくつかの会社はこれを多かれ少なかれ正確に行うことを約束しました。

したがって、今後数か月および数年でそれがどこに行くかがわかります。

34
tylerl

ごく最近まで大きな問題でしたが、

それは今変わっています。

新しいAndroidバージョン(OおよびP)は、 Project Treble と呼ばれる機能を備えています。

リンクされたページから:

デバイスメーカーパートナーから一貫して聞いてきたことの1つは、既存のデバイスをAndroidの新しいバージョンにアップデートすることは、非常に時間がかかり、コストがかかることです。

Android Oでは、デバイスメーカーやシリコンメーカーと緊密に協力してこの問題の解決に向けて一歩を踏み出してきました。ProjectTreble、これまでのAndroid)の低レベルシステムアーキテクチャに対する最大の変更点。

一般的な考え方は、ベンダー互換性レイヤーをシステムの他の部分から分離することです。システムコアに対するGoogleの新しいアップデートは、ベンダーによる追加の作業なしで、Trebleをサポートするすべての電話と互換性があります。

3
Frax