MojAndroid

Google vydáva bezpečnostné záplaty pravidelne už od augusta 2015. Tieto záplaty obsahujú zoznam chýb, ktoré boli opravené a týkajú sa opráv Android frameworku, Linuxového jadra a uzavretých častí výrobcov.

Každú chybu objavil Google alebo mu bola nahlásená. Takéto chyby majú pridelené číslo s popisom, typom zraniteľnosti, zhodnotením závažnosti a dotknutú verziu Androidu. Napriek tomu, že to vyzerá jednoducho, je to celkom zložitý proces, ktorý umožňuje, aby mal váš mobil záplaty každý mesiac.

Čo tvorí bezpečnostnú záplatu?

Možno ste si všimli, že každý mesiac môžu vyjsť dve záplaty. Formát týchto záplat je YYYY-MM-01 alebo YYYY-MM-05. Kým YYYY a MM reprezentujú rok a mesiac, kedy boli vydané, tak 01 či 05 neznamenajú deň vydania záplaty. Koncovka 01 znamená, že záplata obsahuje opravy chýb od Google, ale neobsahuje záplaty od výrobcov hardvéru ani opravy Linuxového jadra. Záplata s číslom 05 obsahuje už aj záplaty Linuxového jadra a záplaty od výrobcov hardvéru.

OEMs alebo výrobcovia zariadení si môžu do záplat pridať svoje vlastné softvérové úpravy. Keďže sa väčšina nadstavieb líši, tak výrobcovia majú svoje vlastné záplaty, ktoré aplikujú na ich chyby. Ako príklad si uveďme nejakú chybu v nadstavbe Samsungu, ktorá však neplatí na nadstavbu od firmy Huawei. Väčšina výrobcov má na svojej stránke popisy záplat:

Aká je doba, kým záplata príde na vaše zariadenie?

Záplaty vychádzajú raz za 30 dní, no na vaše zariadenie nemusia chodiť presne každých 30 dní. Zariadenia v programe Android One (Google Pixel, Motoroly, Nokie a iné) by mali aktualizácie dostávať pár dní po vydaní. Zariadenia s nadstavbami (Xiaomi, Samsung, Huawei a iné) dostanú tieto záplaty až o pár týždňov. Nie je to tým, že by boli firmy využívajúce nadstavby diskriminované. Skôr je to tým, že do nich pridávajú svoje opravy. Mobily ako Essential Phone či iné bez nadstavby sú Android partnermi, čo im umožňuje dostávať takmer okamžité aktualizácie.

Android partnermi sú však všetky veľké firmy, ktoré poznáme, bez rozdielu či využívajú nadstavbu alebo nie. Android partneri môžu využívať logá a značky Androidu vo svojich marketingových materiáloch a môžu využívať aplikácie Google. Taktiež sú upozornení na chyby aspoň 30 dní pred vydaním záplaty, aby ju mohli testovať, či pridať novú funkciu. XDA ako príklad uvádza záplatu z mája 2019, o ktorej výrobcovia zariadení vedeli už 20. marca.

Prečo musíme tak dlho čakať na novú záplatu?

Zatiaľ čo výrobcovia získajú záplatu v predstihu, mnohí sú si vedomí toho, že potrvá nejakú dobu, kým ju zverejnia. Je to z niekoľkých dôvodov:

  • Výrobcovia mnohokrát musia vykonať veľké zmeny v kóde, nakoľko záplata im môže kód pozmeniť
  • Dodávatelia komponentov ako napríklad Wi-Fi čipu sú pomalí pri vydávaní aktualizácií
  • Certifikácia od operátora zaberie nejaký čas
  • Spoločnosti môžu čakať na nejakú novú funkciu, ktorú pridajú spolu so záplatou
Čakanie záplatu pri starších mobiloch je dlhé
Čakanie na záplatu pri starších mobiloch je dlhé

Kým všetko toto sú skôr dôvody firiem, prečo ich záplaty meškajú, koncového používateľa nemusia vôbec zaujímať. Vlastne niekedy sa nezaujíma ani o to, či ich vôbec dostane aj keď by sa mal zaujímať o bezpečnosť. Iniciatívy ako Projekt Treble slúžia na to, aby zjednodušili implementáciu, no aj tak to nejako nepomáha.

Zaujímavá je podmienka, ktorá núti výrobcov vydávať tieto záplaty 4 roky od vydania zariadenia a 2 roky aktualizácií ako takých. V praxi to však vyzerá asi tak, že títo výrobcovia o tých štyroch rokoch asi nejako nepočuli. Google to prísne nekontroluje, no spomína, že to zapracoval do podmienok licencovania.

Čo obsahuje bezpečnostná záplata?

Je to malá aktualizácia, ktorá prináša zmeny systémových modulov a frameworkov skôr než funkcií. Každý mesiac Google pošle výrobcom .zip súbor obsahujúci záplaty pre všetky podporované verzie Androidu spolu s bezpečnostným testovacím balíčkom. Tento balíček pomáha výrobcom vyrovnať rozdiely v bezpečnostných záplatách, zabezpečujúc, aby nevynechali žiadnu zmenu. Ako mesiac pokračuje, Google sa môže rozhodnúť nejakú malú časť pozmeniť či vynechať.

Náš tip
Prehliadač Chrome obsahoval nebezpečné rozšírenia, ktoré zbierali súkromné dáta
7.3.2020

Pravidlá diskusie

Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.

+