:

Szerző: Voith Hunor

2016. január 5. 17:30

Van is, nincs is androidos patch-kedd

Elvben fél éve tart a Google biztonsági programja, de a gyártópartnerek lassan veszik fel az ütemet.

Tavaly augusztusban jelentette be a Google, hogy elindítja az androidos világ kvázi patch-keddjét, és a Nexus készülékekre havi rendszerességgel ad ki biztonsági frissítéseket, amelyeket a gyártópartnereknek is rendelkezsére bocsát. Bár a keresőóriás jóval rövidebb támogatási ciklust vállalt a Nexusokra, mint a patch-kedd gyakorlatát tevő Microsoft (a megjelenéstől számított három évig vagy a Google áruházból történő kifutás után másfél évig), sokan nagy reményeket fűztek a vállalat régóta várt és szükséges kezdeményezéséhez.

Év eleji ajándékcsomag

Az Android hatodik rendszeres biztonsági frissítési csomagját (melyek amúgy kumulatívak, így a korábbi javításokat is tartalmazzák) a napokban adta ki a Google. A vállalat tizenkét sérülékenységet javított, melyek közül öt kapott kritikus besorolást – egyik újra a Stagefright sérülékenység kapcsán már ismert Mediaserver komponenst foltozza, ami távoli kódfuttatásra alkalmas hibát tartalmazott (illetve tartalmaz a még nem frissített készülékeken). A többi hiba többsége (hét) jogosultságemeléses támadás során használható.

Érdekesség, hogy a BlackBerry a Priv kapcsán tartotta magát vállalásához, és gyakorlatilag a Google-lel egyszerre tette elérhetővé a biztonsági csomagot új zászlóshajója számára – a frissítéseket a szerkesztőségünkben levő Priv már tegnap letöltötte. A nálunk levő LG G4 viszont még a decemberit sem kapta meg, pedig az LG volt a másik gyártó a Samsung mellett, amely vállalta, hogy a Google nyomdokain haladva biztosítani fogja a rendszeres biztonsági frissítéseket. A korábbi szolgáltatói nyilatkozatok alapján a frissítési ütem a gyártókon múlik, mert a biztonsági foltokat a mobiloperátorok a nagyobb szoftverfrissítésekkel ellentétben komoly és elhúzódó tesztelés nélkül átengedik az ügyfelek felé. A gyártók azonban egyelőre nem törik magukat, így az androidos patch-kedd meghirdetése dacára a globális sérülékenységhelyzet érdemben nem igazán javult.

A Google ugyanis az Android minél szélesebb és gyorsabb elterjesztésének érdekében csak az üzleti érdekei szempontjából fontos kontrollt tartotta meg az operációs rendszer felett, így született a hírhedt MADA, azaz Mobile Application Distribution Agreement. A világ másik legnépszerűbb legelterjedtebb operációs rendszerével szemben viszont így többnyire csak a Google "saját" androidos eszközei, a Nexus márkanév alatt forgalmazott okostelefonok és tabletek kaptak biztonsági frissítéseket – és a nyári kezdeményezés előtt azok sem rendszeresen, csak amikor volt valami rendkívülinek ítélt "javítani való".

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Eközben mára milliárdosra rúg azoknak a használatban levő androidos készülékeknek a száma, melyekben kisebb-nagyobb, távoli kódfuttatásra és jogosultságemelésre kihasználható sérülékenységek vannak. A gyártók a múltban nagyon kevés energiát (már amelyek és amikor egyáltalán) fektettek a biztonsági területbe, és alapvetően a Google sem igazán forszírozta a dolgot.

A vállalat legutóbb meghirdetett programja ugyan javít valamit a helyzeten, de legalább motivációként szolgál a nagyobb gyártópartnerek számára, hogy népszerűbb modelljeiken javítsák a hibákat). Igazán komoly pozitív változás akkor következhetne be, ha a Google a MADA szerződésben rendszeres biztonsági frissítések kiadását is előírná – hiszen a cég az ehhez szükséges alapanyagot az Android Open Source Project (AOSP) keretein belül nyílt forrásúként mindenki által elérhetővé közzé is teszi. A követelményrendszer ezirányú módosításáról egyelőre nincsenek hírek, bár könnyen lehet, hogy a tárgyalások már folynak a háttérben – a MADA-szerződésekről a titoktartási kötelezettségek miatt a mai napig nagyon nehéz naprakész információhoz jutni.

 

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról