Android 10 security patches
При выборе устройства, немаловажную роль играет репутация производителя: период поддержки устройств, даже не совсем новых, является не последним критерием, и признаком хорошего тона. При этом производитель устраняет уязвимости, и возможно повышает производительность устройства, что делает его в глазах пользователя не только надежным, но иногда и единственным приемлемым выбором (как в случае всеми известной компании).
Однако, многие из вас слышали о ситуации, когда устройство под управлением android перестало обновляться, а это значит, что оно стало более уязвимо для атак хакеров, но не спешите отчаиваться — замена устаревшего устройства на другое — не всегда единственный выход.
К тому же, даже если ваше устройство показывает последние обновления патчей безопасности, это не всегда означает, что так и есть, что было подтверждено в исследовании https://xakep.ru/2018/04/16/android-patches/
Так или иначе, сами пользователи иногда модифицируют прошивку своих устройств, чтобы получить последние обновления безопасности https://forum.xda-deve…-updates-twrp-t3523026
Им в этом помогают энтузиасты, создающие и обновляющие кастом прошивки для их девайсов, которые не сложно установить, следуя инструкции (при наличии компьютера и навыков конечно)
И в третьих, в новейшей Q OS от Google сделали автоматическое обновление патчей безопасности android 10 прямо через play market.
https://www.xda-develo…security-update-issue/
Может быть кто то имеет устройство в котором это реализовано и он сможет поделиться своим опытом.
Было бы не плохо, создать инструкцию, или даже универсальный автоматизированный скрипт, для интеграции обновлений android security path level через magisk или twrp.
Поэтому кто хочет, может участвовать.
Сообщение отредактировал konstantinqq — 08.02.20, 22:21
(Зарезервировано на всякий случай)
Тема про ручное или полу автоматическое обновление системы безопасности андроид, то есть в конечном итоге должны появиться гайды и инструкции как обновить, а так де конечно отзывы, тех кто обновил и у кого может быть, не получилось.
Сообщение отредактировал konstantinqq — 08.02.20, 22:06
кто знает как на миюи обновить патч безопасности андроид?
Вроде бы где то писали что обновы безопасности на 10 андроиде будут сами приходит через маркет, а на деле в миюи как я понял это не реализовано, так вот, как обновить android security path level?
Если уж вопрос был удален, то что и о создании темы говорить?
Но есть и плюс — можно свободно обсуждать, если это касается темы.
Поэтому начну — был у меня mi 9 с миюи и 10 андроидом, но обновлениями безопасности занимался там не плей маркет, а сяоми, из за чего рассчитывать на своевременные обновления патчей безопасности не приходилось)
Вообще, как вы считаете, стоит ли беспокоиться что безопасность андроида давно не обновлялась?
Сообщение отредактировал konstantinqq — 08.02.20, 20:30
Ага, гугл сам там патчит, и Ромы кастомные на дату сборки обычно гугловские патчи содержат, а вендор и кернел должны сами производители или маинтайнеры обновлять
Так что вообще не вижу проблемы, если у кого-то какой-то кастом не обновлялся давно, то есть интсоукция по сборке gsi образов для любой прошивки в теме одноимённой на форуме
Инструкция есть в теме Разработка GSI
На базе скрипта от phhusson
А вот откуда можно скачать патчи, но как интегрировать, все ещё не нашел инструкцию. Особенно чтобы без потери данных например через тврп или магиск.
Всплывают нюансы, и как во всем этом разобраться?
Таким образом вижу примерно такое развитие событий, может быть кто то напишет инструкцию, или ее придется писать кому то другому:
Ну для начала, нужно узнать о совместимости патчей безопасности с установленным андроидом, как я понял, описанное в той теме относится к GSI системам.
Вот.
После того как стало известно о совместимости патча, как я понял, нужно пересобрать из исходников, и поэтому нужно знать где их взять, как создать патч, чтобы без сброса данных, ну и тому подобное.
Сообщение отредактировал konstantinqq — 08.02.20, 21:49
Если честно, понятия не имею)
Может быть по шаблону, подобно тому, как их делает сам производитель.
Ну то есть анализируется вендор, систем, и данные которые касаются патча безопасности.
При этом, существует пользовательская база, где пользователи условно выбирают алгоритм патча — ну к примеру для патча родного миюи или для патча ми еу кастома, и далее скрипт скачивает из репозитория нужные файлы, собирает прошивку, и вот она, только прошей через тврп.
Все.
Ps голосование такое потому что если 2018 и старше — значит производители перестали поддерживать телефон.
Сообщение отредактировал konstantinqq — 08.02.20, 22:35
fsct2k,
Про уязвимости можно больше официальной инфы найти, например пример того, как стоковое устройство без модификаций оказывается под полным контролем хакера, который получает полные системные права.
И это лишь об известных уязвимостях. Но ведь каждый год находят новые критические уязвимости. Складывается ощущение, что их там специально оставляют. И кто вовремя вышедшую заплатку не поставит, сталкивается с повышенным риском взлома.
А вот про уязвимости обхода magisk что можно найти? Рут то магиск менеджер выдаёт, причем можно запретить всем новым запросам поручение рут прав, и для приложения это будет означать почти полное их отсутствие. Ну может оно узнать допустим что телефон рутован, но без выданных прав что оно может? Хотите сказать что магиск куплен и в него встроен бекдор? Это уже похоже на правду.
Другое дело что андроид сама по себе уязвимая система — дай любой программе доступ к файлам, и вот уже можно все не системные файлы передавать кому угодно на оригинальном устройстве, без рутов и прочего.
Про разблокированный загрузчик тоже могу не много сказать — о том что нет способов на 4пда (я не встречал для новых устройств) без Рута модифицировать системные разделы, т. Е. Чтобы разблокированный загрузчик стал подспорьем ко взлому телефона, надо иметь бекдор позволяющий получить полные права на просмотр и изменение. А бекдоры как раз и устраняются патчами безопасности.
Сам по себе разблокированный загрузчик лишь снимает один слой защиты от изменения системных файлов, а именно проверку при загрузке. И то не всегда (ARB например или кирпич по схожим причинам на redmi note 8 pro даже разработчики кастом ромов бессильны обойти без авторизованного производителем edl аккаунта, хотя казалось бы, китайский телефон на МТК).
После размышлений могу и про TWRP оставить комментарий:
Чтобы сделать его применение безопасным, надо от него отделаться — то есть после установки всего необходимого, зашифровать раздел с данными сложным паролем, и удалить или запоролить TWRP, чтобы если кто найдет потерянный телефон не смог стянуть с него данные.
Судя по тому, что подобной темы на 4пда не было, и по текущей популярности этой темы — безопасность удел тех, кому есть что терять. Остальных же, похоже это мало волнует, на уровне «купи айфон» или используй антивирус на флагмане известной фирмы. Справедливо некоторые говорят «кому вы нужны со своими котиками».
Сообщение отредактировал konstantinqq — 20.02.20, 14:42
Источник
Обновления и патчи для Android за ноябрь 2021 года
Компания Google опубликовала ежемесячный бюллетень по безопасности Android за ноябрь 2021 года, который содержит информацию об исправленный уязвимостях безопасности, влияющих на устройства Android. Также, обновления и бюллетени по безопасности выпустили различные производители устройств под управлением операционной системы Android.
Содержание
Уязвимости системы безопасности Android
Бюллетень по безопасности Android за ноябрь 2021 года содержит информацию об уязвимостях безопасности, влияющих на устройства с операционными системами Android, включая Android 9, Android 10, Android 11 и Android 12. Уязвимости устранены в обновлениях Android Open Source Project (версии 9, 10, 11 и 12) от 01.11.2021, 05.11.2021 и 06.11.2021 или новее. В список исправленных уязвимостей входят:
- Уязвимости фреймворка:
- Высокий уровень: CVE-2021-0799, CVE-2021-0921, CVE-2021-0923, CVE-2021-0926, CVE-2021-0933, CVE-2020-13871, CVE-2021-0653.
- CVE-2021-092.
- Уязвимости медиа фреймворка:
- Высокий уровень: CVE-2021-0928, CVE-2021-0650.
- Уязвимости системы:
- Критический уровень: CVE-2021-0918, CVE-2021-0930.
- Высокий уровень: CVE-2021-0434, CVE-2021-0649, CVE-2021-0932, CVE-2021-0925, CVE-2021-0931.
- Умеренный уровень: CVE-2021-0919.
- Уязвимости системы Google Play:
- CVE-2021-0653, CVE-2021-0650, CVE-2021-0649.
- Уязвимости компонентов ядра:
- Высокий уровень: CVE-2021-0920, CVE-2021-0924, CVE-2021-0929, CVE-2021-1048.
- Уязвимости Android TV:
- Критический уровень: CVE-2021-0889.
- Высокий уровень: CVE-2021-0927.
- Уязвимости компонентов MediaTek:
- Высокий уровень: CVE-2021-0672.
- Уязвимости компонентов Qualcomm:
- Критический уровень: CVE-2021-1924, CVE-2021-1975.
- Высокий уровень: CVE-2021-1921, CVE-2021-1973, CVE-2021-1979, CVE-2021-1981, CVE-2021-1982, CVE-2021-30254, CVE-2021-30255, CVE-2021-30259, CVE-2021-30284.
Исправления исходного кода для этих проблем выпущены в репозиторий Android Open Source Project (AOSP) и доступны для разработчиков и партнёров Android. Производители Android устройств Google Pixel, Huawei, Samsung, Nokia и LG также выпустили информацию по ноябрьским обновлениям безопасности Android для своих устройств.
Обновления Google Pixel
Бюллетень обновлений Pixel содержит информацию об исправлениях уязвимостей и улучшениях, затрагивающих поддерживаемые устройства Google Pixel. В настоящий момент, к поддерживаемым устройствам Pixel, которые получают регулярные обновления безопасности, относятся следующие модели:
- Pixel 6 и Pixel 6 Pro (поддержка до октября 2026)
- Pixel 5a 5G (поддержка до августа 2024)
- Pixel 5 (поддержка до октября 2023)
- Pixel 4a 5G (поддержка до ноября 2023)
- Pixel 4a (поддержка до августа 2023)
- Pixel 4 и Pixel 4 XL (поддержка до октября 2022)
- Pixel 3a и Pixel 3a XL (поддержка до мая 2022)
С полным списком патчей и исправленных уязвимостей можно ознакомиться в бюллетене по обновлениям Pixel за ноябрь 2021 года. Также, поддерживаемые устройства получили обновления не связанные с безопасностью, но включающие различные исправления ошибок и улучшения, с которыми можно ознакомиться в новости на странице сообщества Google Pixel.
Обновления Huawei
Компания Huawei ежемесячно выпускает обновления системы безопасности для флагманских моделей смартфонов и планшетов. Обновление системы безопасности содержит патчи библиотек Huawei и сторонних библиотек.
Обновления системы Huawei EMUI и Magic UI за ноябрь 2021 года включают патчи Huawei, патчи сторонних библиотек, а также патчи Android с исправлениями уязвимостей, опубликованных в бюллетене по безопасности Android за октябрь 2021 года. Среди них исправление критической уязвимости CVE-2020-11264 и другие исправления.
Список устройств, которые получат обновления в этом месяце, отличается для разных регионов и может изменяться. Huawei сообщает, что для российского региона в этом месяце обновления запланированы для следующих моделей устройств:
- Huawei Mate 40 Pro.
- Huawei P40 Pro+, Huawei P40 Pro.
- HONOR 9X, HONOR 7S, HONOR 20S.
Позже, в рамках ежеквартальных обновлений, патчи будут предоставлены для следующих моделей:
- Huawei Mate Xs.
- Huawei P40 lite E, Huawei P40, Huawei P40 lite, Huawei P30 lite, Huawei P smart 2021.
- Huawei nova 8i, Huawei nova 8.
- Huawei Y8p, Huawei Y5p, Huawei Y6p, Huawei Y6s.
- HONOR 9S, HONOR 30S, HONOR 9A, HONOR 9X lite, HONOR 30I, HONOR 30 Pro+, HONOR 9C, HONOR View30 Pro, HONOR 30, HONOR 10X lite.
- Huawei MediaPad M6, Huawei MatePad Pro, Huawei MatePad T, Huawei MatePad T 10S, Huawei MatePad, Huawei MatePad T 10.
С полным списком патчей и исправленных уязвимостей можно ознакомиться в бюллютене безопасности Huawei за ноябрь 2021 года.
Обновления Samsung
Компания Samsung выпускает ежемесячные, ежеквартальные и полугодовые обновления безопасности для мобильных устройств. Устройства, выпущенные в 2019 году или позже, будут поддерживаться обновлениями безопасности в течение как минимум четырех лет с момента выпуска.
Ежемесячные обновления безопасности получат следующие устройства:
- Galaxy Fold, Galaxy Fold 5G, Galaxy Z Fold2, Galaxy Z Fold2 5G, Galaxy Z Fold3 5G, Galaxy Z Flip, Galaxy Z Flip 5G, Galaxy Z Flip3 5G.
- Galaxy S10, Galaxy S10 +, Galaxy S10e, Galaxy S10 5G, Galaxy S10 Lite.
- Galaxy S20, Galaxy S20 5G, Galaxy S20 +, Galaxy S20 + 5G, Galaxy S20 Ultra, Galaxy S20 Ultra 5G, Galaxy S20 FE, Galaxy S20 FE 5G, Galaxy S21 5G, Galaxy S21 + 5G, Galaxy S21 Ultra 5G.
- Galaxy Note10, Galaxy Note10 5G, Galaxy Note10 +, Galaxy Note10 + 5G, Galaxy Note10 Lite, Galaxy Note20, Galaxy Note20 5G, Galaxy Note20 Ultra, Galaxy Note20 Ultra 5G.
- Galaxy A52, Galaxy A52 5G, Galaxy A52s 5G.
- Galaxy A50, Galaxy XCover4s, Galaxy Xcover FieldPro, Galaxy Xcover Pro, Galaxy Xcover5.
Обновления за ноябрь 2021 года включают исправления от Google и Samsung, включая исправление трёх критических уязвимостей. С полным списком патчей и исправлений можно ознакомиться в бюллютене безопасности Samsung за ноябрь 2021 года.
Обновления LG
Компания LG регулярно выпускает обновления безопасности для своих продуктов. В зависимости от региона и оператора связи, обновления для Android-устройств выпускаются ежемесячно, раз в два месяца, ежеквартально или нерегулярно. В ноябре обновления безопасности получают следующие поддерживаемые устройства LG:
- G5, G6, G7, G8
- V10, V20, V30, V35, V40, V50
- Q6, Q8
- X300, X400, X500, X cam
- CV1, CV3, CV5, CV7, CV1S, CV7AS
- K40, K50, Q60, Q70
- DH10, DH15, DH30, DH35, DH40, DH5, DH50
- Velvet, TF10, Wing
Обновления за ноябрь 2021 года включают исправления от Google и LGE. Полный список исправленных уязвимостей доступен в бюллетене по безопасности LG за ноябрь 2021 года.
Обновления Nokia
Компания HMD Global регулярно обновляет информацию об обновлении безопасности поддерживаемых мобильных устройств под управлением Android. Вы можете перейти на страницу технического обслуживания Nokia Smartphone Security, выбрать из списка модель своего устройства и получить информацию о последних обновлениях и статусе поддержки.
Другие обновления
Также, информацию об обновлениях мобильных устройств с операционной системой Android публикуют компании Xiaomi, Motorola, OPPO, OnePlus и некоторые другие производители мобильных устройств.
Получает ли ваш смартфон или планшет обновления безопасности и устанавливаете ли вы их?
Источник