¿Por qué no puede Google simplemente cambiar las actualizaciones de seguridad de Android directamente a los usuarios?

Navega tus respuestas
10

Bien, comenzaré con la pregunta y luego elaboraré un poco más abajo. Es:

¿Por qué Google, el fabricante dominante en el mundo de sistemas operativos que no son teléfonos inteligentes con Apple, no ha adoptado un modelo directo para el usuario de distribución de actualizaciones de seguridad para Android, en lugar de seguir con el actual ¿Obviamente, el enfoque profundamente defectuoso de confiar en los fabricantes de teléfonos y los proveedores de servicios inalámbricos para probarlos, aprobarlos y distribuirlos rápidamente? ¿Qué tan importantes serían los obstáculos técnicos para mover a Android al modelo de actualización directa si Google realmente quisiera hacerlo?

Por lo tanto, ayer surgieron algunas noticias no buenas sobre el divertido conjunto de errores de seguridad del componente multimedia de Stagefright en Android. Primero, algunos fallas recientemente anunciadas en el mismo componente parece extender el alcance de los teléfonos Android afectados a prácticamente todos los que se han creado y amp; vendido. En segundo lugar, aparentemente hay aún más fallas en el mismo componente que se ha divulgado a Google y que pronto se anunciará públicamente, incluso algunos que obtendrán una etiqueta "crítica". No estoy muy familiarizado con la escena de seguridad de Android, pero ciertamente parece que se está celebrando como el evento de seguridad más importante con el que Android ha tenido que lidiar hasta ahora.

Por supuesto, el descubrimiento de vulnerabilidades terribles, en cualquier plataforma, siempre lleva a la siguiente pregunta: "¿Cuándo se va a reparar mi dispositivo?" Desafortunadamente, la forma en que funcionan las cosas ahora con las actualizaciones de seguridad de Android: Google las lleva a los fabricantes de hardware y proveedores, que tienen que firmarlas y estar dispuestas a distribuir las actualizaciones a los usuarios, la gran mayoría de ellas. Más de mil millones de usuarios de Android solo pueden esperar una de dos respuestas:

- Para los afortunados: serán meses. (Este informe , también vinculado anteriormente, cita una estimación de que generalmente se necesitan entre 9 y 18 meses para que los parches lleguen desde Google a través de pruebas y varias aprobaciones al teléfono de un usuario. Ahora, se supone que con Stagefright eso será acelerado hasta cierto punto, pero aún así ...)

- Para los desafortunados: nunca. (Algunos fabricantes de Android apenas proporcionan ningún servicio de actualización posterior a la venta para sus teléfonos. Otros parecen tener un límite de período de soporte no escrito de tal vez un año, o quizás dos, después del cual el usuario está fuera de control).

Todo lo cual plantea la pregunta: ¿por qué no puede Google hacer lo que hacen las compañías que hacen sistemas operativos para otras computadoras (PC y servidores, por ejemplo) y evitar a los OEM y proveedores de servicios para entregar actualizaciones de seguridad directamente a el usuario?

Ahora, obviamente, hay probablemente tanto aspectos técnicos como aspectos empresariales a esto. Estoy pensando más en los aspectos técnicos (aunque admito que a veces los dos son menos fáciles de separar de lo que uno podría pensar). De qué manera podría ir a un proceso de Google emitiendo directamente actualizaciones de seguridad, pero no necesariamente enviando directamente actualizaciones que involucren algo más que arreglar vulnerabilidades de seguridad - causan problemas con la compatibilidad de hardware y / o software que podrían ¿será lo suficientemente problemático para los usuarios, fabricantes de teléfonos, operadores y el propio Google que ese factor podría superar el valor de sacar estos parches mucho más rápido y mucho, mucho más ampliamente de lo que es probable en el sistema actual? ¿O es realmente un éxito a favor de que Google vaya a la distribución directa, ya que el 99% de los reporteros de noticias de seguridad & Los comentaristas parecen pensar?

    
pregunta mostlyinformed 04.10.2015 - 02:30
fuente

2 respuestas

32

El quid del problema es que, con solo unas pocas excepciones notables, todos los teléfonos se envían con un fork de Android, no con el software escrito por Google. Por lo tanto, Google no puede impulsar cambios en los teléfonos de Samsung más de lo que FreeBSD puede impulsar cambios en los Macbooks de Apple.

Android es de código abierto, lo cual es un poco inusual. Esta es la primera vez que un importante sistema operativo de consumo con este tamaño de base de usuarios (1.4 mil millones de usuarios y en rápido crecimiento) ha sido un proyecto de código abierto en lugar de uno centralmente controlado. Estamos acostumbrados a la idea de que el creador del sistema operativo pueda asumir la responsabilidad de actualizarlo. Y como lo demuestra esta pregunta, de alguna manera esperamos que Google pueda controlar Android de la misma manera que Microsoft controla Windows y Apple controla iOS.

Pero al permitir que compañías como Samsung, Sony y Motorola envíen su propia versión modificada de Android, Google abandona ese control de manera que no puedan recuperarlo. Samsung luego asume el control no solo de su propio sabor de Android, sino también de responsabilidad para mantenerlo actualizado. Y al permitir que Verizon bifurque la versión de Samsung, Samsung luego arroja tanto control como responsabilidad ahora a Verizon.

Teóricamente todo esto funciona; teóricamente, Verizon será tan responsable y confiable como Google. Excepto cuando no lo son.

Así que hay tres soluciones posibles. O bien:

  • Los fabricantes podrían comenzar a responsabilizarse más de sus sistemas operativos. Como el Android de Samsung pertenece a Samsung, no llegamos a ninguna parte a menos que Samsung tome alguna iniciativa para mantenerlo actualizado. Esto puede requerir cierta cooperación con compañías como Verizon si Samsung les ha permitido también ingresar el código. Esto es más o menos el status quo, pero con más ilusiones.

  • Google podría recuperar el control de Android. Al cambiar a una licencia de código cerrado, podrían imponer restricciones de licencia, como exigir que compañías como Samsung introduzcan parches dentro de un plazo limitado. Por supuesto, si Google tomara esta ruta, no habría fin de gritos acerca de cuán "malvados" y "contra-consumidores" estaban siendo, a pesar del hecho de que son, literalmente, los únicos principales jugador que es Open Source para empezar. Políticamente, esto es probablemente un no-go.

  • Compañías como Verizon y Samsung podrían devolverle el control a Google de manera voluntaria sin ser obligados a hacerlo por un acuerdo de licencia. Este es el tipo de acuerdo de utopía en el que las compañías deciden hacer lo correcto. por su propia voluntad. Hasta hace unas semanas, este era el menos probable de los tres. Pero desde el desastre de Stagefright, varias compañías se han comprometido a hacer más o menos exactamente esto.

Así que veremos a dónde irá en los próximos meses y años.

    
respondido por el tylerl 04.10.2015 - 05:49
fuente
2

Fue un gran problema hasta hace muy poco, pero

está cambiando en este momento.

Las nuevas versiones de Android (O y P) incluyen algo llamado Proyecto Agudos .

Desde la página enlazada:

  

Una cosa que hemos escuchado constantemente de nuestros socios fabricantes de dispositivos es que actualizar los dispositivos existentes a una nueva versión de Android es increíblemente lento y costoso.

     

Con Android O, hemos estado trabajando muy de cerca con los fabricantes de dispositivos y de silicona para tomar medidas para resolver este problema, y estamos encantados de darle un vistazo al Proyecto Treble, el mayor cambio a bajo nivel. Arquitectura de sistema de nivel de Android hasta la fecha.

La idea general es separar la capa de compatibilidad del proveedor del resto del sistema. Las nuevas actualizaciones de Google para el núcleo del sistema son compatibles con todos los teléfonos compatibles con Treble, sin ningún trabajo adicional del proveedor.

    
respondido por el Frax 29.10.2018 - 18:11
fuente

Lea otras preguntas en las etiquetas

Inyección de SQL en una aplicación no web ¿Cómo se comparan los certificados digitales?