Zatímco na pravidelné aktualizace a záplaty operačního systému Windows jsme si už dávno zvykli a bereme je jako naprostou samozřejmost, aktualizace telefonů s Androidem jsou stále ve své podstatně nepochopeny. Pro spoustu uživatelů znamená stažení, instalace, restart a náběh systému jako naprostá ztráta času. I přesto byste však neměli aktualizace systému odkládat, a o aktualizacích zabezpečení to platí dvojnásob.
Google každý měsíc vydává aktualizace zabezpečení, v rámci které dochází k opravě objevených chyb, bezpečnostních děr a nedostatků. A protože se stále nachází možné bezpečnostní problémy, jedná se o běh na dlouhou trať, který však potřebuje spolupráci i ze strany samotných uživatelů.
Android Security Bulletin
Každé první pondělí v měsíci Google na těchto webových stránkách vydává novou verzi aktualizaci zabezpečení, tzv. Android Security Bulletin. Pokud by snad pondělí padlo na svátek nebo na víkend, je update zabezpečení publikován následující pracovní den. Kupříkladu listopadová verze zabezpečení se objevila 7. listopadu, poslední letošní verze bude publikována 5. prosince. Ve všech případech jsou záplaty určeny pro telefony minimálně s Androidem 10.
Google od srpna 2015 vydává pravidelné měsíční aktualizace zabezpečení pro Androidy
Každá z těchto měsíčních aktualizací má dva různé patch levely, např. listopadový 2022-11-01 a 2022-11-05. Díky rozdvojení mohou výrobci rychle nasadit opravy určité zranitelnosti, které jsou u více typů zařízení podobné. Obě varianty jsou vydány ve stejný den, varianta s jedničkou na konci opravuje Android Framework, ale neobsahuje záplaty dalších dodavatelů či záplaty jádra. Varianta s pětkou na konci obsahuje záplaty komponent třetích stran s uzavřeným zdrojovým kódem, jako jsou třeba řadiče pro Wi-Fi nebo Bluetooth. Tato verze zabezpečení samozřejmě opravuje i opravy z „jedničkové“ varianty.
A zatímco výrobci mezi oběma úrovněmi oprav v systému nijak nerozlišují, pokud používáte custom ROM (např. LineageOS), dozvíte se, jak úroveň oprav pro platformu, tak úroveň oprav pro dodavatele komponent (alias Vendor).
V telefonech však vždy vidíte zabezpečení vztaženému k prvnímu dni v měsíci. Kupříkladu listopadová aktualizace zabezpečení má u Galaxy Xcover6 Pro datum 1. listopadu. Konkrétní verzi zjistíte z nastavení telefonu, typicky hledejte v Nastavení - O Telefonu - Informace o softwaru. A zajímá vás položka Úroveň opravy zabezp. Androidu.
V nastavení každého Androidu najdete v detailech o telefonu aktuální verzi aktualizace zabezpečení
Součástí Android Security Bulletinu jsou opravy chyb, které Google označuje jako CVE (Common Vulnerabilities and Exposures). Pokud se zjistí v Androidu nějaká chyba, je jí přiděleno jednoznačné označení. Jeho součástí je rok objevení chyby a také čtyř až pěticiferné číslo. Např. se může jednat o označení CVE-2022-20081.
Ještě předtím, než je hotová oprava zveřejněna v Bulletinu, ví o ní mobilní výrobci minimálně měsíc dopředu (často i více), aby se mohli na bezpečnostní aktualizaci patřičně připravit. To však platí jen o velkých značkách, které mají označení „Android Partner“. Menší výrobci žádné avízo nedostávají. Popsány jsou tedy chyby, které již byly opraveny, a to jen zběžně, aby se potenciální útočník nedozvěděl, jak bezpečnostní díru využít u telefonů, které ještě nebyly aktualizovány.
Tím, že Google vydá měsíční aktualizaci zabezpečení, to však nekončí. Update zabezpečení mají sice výrobci s předstihem, často však mají i své vlastní opravy, které musí k bezpečnostní aktualizaci přiřadit. Ať to se nejčastěji týká chyb a nedostatků v rámci vlastních grafických nadstaveb. Google u chyb uvádí typ možného zneužití , vážnost i verzi AOSP, ke které se oprava stahuje. Výrobci zase u svých oprav dodávají, k jaké verzi nadstavby se vztahuje použitá záplata.
Pixely mají vlastní Bulletin
Jamile mají i výrobci hotovo, je záplata připravena k instalaci do koncových zařízení. Ale kvůli náročnosti bezpečnostních updatů se jejich interval nasazení do telefonů liší značka od značky i model od modelu. Obecně lze říci, že dražší Androidy dostávají větší počet aktualizací zabezpečení a častěji, nežli levnější přístroje. Ovšem postupem času se i u dřívějších topmodelů tempo aktualizací postupně zpomalí.
Levnější stroje mohou dostávat updaty zabezpečení třeba jednou za dva měsíce, čtvrt či půl roku či „pravidelně“, takže opravy do telefonů sice dorazí, jen s delším časovým odstupem. Updaty však mohou být na telefony doručovány i nepravidelně, u starších telefonů na ně zase rovnou zapomeňte. Je třeba se vždy podívat na aktuální pravidla u vašeho výrobce smartphonu.
Podmínky bezpečnostních aktualizací u Androidů:
Poměrně překvapivě mají svůj vlastní Bulletin i Pixely od Googlu, byť je to jedna a tatáž firma. Na Pixely se dostávají updaty zabezpečení v rámci OTA aktualizace ve stejný den, kdy byly vydány. Jenže ani to Googlu paradoxně k prvenství nestačí, Samsung jej v posledních měsících s aktualizacemi zabezpečení dost často předbíhá. Jihokorejci navíc u svých telefonů slibují až pět let bezpečnostních záplat, tedy stejně jako Google. Ostatní výrobci jsou na tom o něco hůře.
Minimální počet bezpečnostní záplat
Google velkým OEM výrobcům stanovuje, že v rámci jednoho roku od uvedení na trh musí do telefonu dostat alespoň čtyři bezpečnostní záplaty. Doba podpory bezpečnostních aktualizací má být od uvedení telefonu na trh alespoň dva roky. V případě zařízení zařazených do programu AER (Android Enterprise Recommended) musí být aktualizace bezpečnosti uvolňování nejpozději každých 90 dní, a to po dobu tří let.
A dostáváme se i k výrobcům, kteří v seznamu výše nejsou uvedeni. Třeba Sony jen odkazuje na všeobecný Bulletin s tím, že v jeho telefonech jsou všechny záplaty pravidelně aplikovány. Honor na webu nabízí jen několik vyjádření k bezpečnosti ročně, ovšem bez jakýchkoliv detailů jednotlivých aktualizací. Na jeho webu však zase můžete rychle oznámit objevenou zranitelnost. Xiaomi zase uvádí výčet zařízení, které aktualizace zabezpečení už nedostávají, a slibuje dvouletou dobu aktualizací od uvedení telefonu na trh. Jejich tempo a četnost však na webu není explicitně uvedena. A to platí i pro značky Redmi a Poco.
U méně známých značek může být celá situace ještě horší. Jistě, často se setkáváme s tím, že právě méně známé značky využívají čistý Android, jenže na jejich stránkách se nedohledáte žádných informací týkajících se zabezpečení telefonu. Ve své podstatě jste tak rukojmím značky, a čekáte na to, až update (často i zcela náhodně) dorazí do vašeho telefonu. Pokud však výrobci něco slíbí, nejsou to povinni splnit. Dost často se stane, že se slibovaná víceletá podpora v konečném důsledku nekoná.
Proč mají záplaty zpoždění?
Výrobcům nestačí jen „přilepit“ své vlastní opravy k záplatám od Googlu, to by bylo moc jednoduché. Nezřídka se stává, že OEM výrobci musí před aplikací záplat od Googlu provést patřičné změny v kódu, protože může docházet ke konfliktům. Dost často se také čeká na záplaty od jednotlivých dodavatelů komponent (alias vendorů). Určitý čas zabere i certifikace softwaru, a počítat je třeba i s neochotou samostatného vydávání záplat, když značka připravuje systémovou aktualizaci. Samo o sobě se nabízí spojení dvou updatů do jednoho, což však čekání na záplaty ještě protáhne.
Project Mainline je druhou cestou, jak na Androidy dostat kritické bezpečnostní záplaty. A to velmi rychle
Google si toho je samozřejmě vědom, a tak existují iniciativy Project Treble, extended Linux LTS a Project Mainline, které mají eliminovat technické problémy při spojování patchů od Googlu, vendorů (tj. výrobců komponent) a od samotných výrobců. Konkrétně díky projektu Mainline je možné na telefony rychle dostat kritické záplaty, a pomocí updatu z Google Play. I díky tomu můžete mít na telefonu dvě různá data záplat. Jedno pro update zabezpečení, druhé pro aktualizaci systému Google Play. Mít dva kanály pro aktualizace, to je nesmírná výhoda. V případě nouze může Google update nainstalovat na dálku a přeskočit všechny postupy, které nasazení updatu jen zdržují.
Díky projektu Mainline má Google i druhou možnost, jak do Androidů dostat (nejen) kritické záplaty zabezpečení
Určitou dobu navíc zaberou i samotné opravy chyb, třeba Google ještě letos v dubnu dolaďoval chyby z loňského roku, a až v červnovém vydání začaly převažovat opravy chyb z letošního roku.
Co záplata obsahuje?
Měsíční záplaty zahrnují a opravy a patche více chyb a zranitelností, které jsou spojeny do jednoho zip balíčku. Ten má řádově několik desítek až stovek MB. Pokud se vám update objeví v horní liště, je jeho stažení a instalace otázkou několika minut. S ohledem na bezpečnost vašeho smartphonu tyto updaty stahujte co nejdříve a rozhodně je neodkládejte na neurčito.