Eine der großen Erkenntnisse der jüngsten Black-Hat-Sicherheitskonferenz war, dass Google entsprechende Pläne ankündigte veröffentlichen monatliche Sicherheitsupdatesund dass sie sich bemühen werde, uns alle besser zu informieren.
Leitender Ingenieur für Android-Sicherheit bei Google Adrian Ludwig hat mit dem einen großen Schritt in die richtige Richtung angekündigt Gründung der Android Security Updates Google Group. Der Schwerpunkt der Gruppe liegt auf der Bereitstellung weiterer Informationen zu Sicherheitsproblemen und Bulletins. Der erste Beitrag beschreibt genau, was im aktuellen Update für Nexus-Geräte enthalten ist.
Ein kurzer Blick zeigt, dass sie die „Lampenfieber„Probleme sind ziemlich ernst, und sie beschreiben genau, warum es ein Problem ist, wo sich die Patches im Codebaum befinden, wann sie (und Partner) zum ersten Mal informiert wurden und wann sie mit dem Patchen von Nexus-Geräten begonnen haben. Es ist technisch, weil es technisch sein muss. Es ist aber auch eine Lektüre wert, wenn Sie sich Sorgen um Sicherheit und Android machen.
In Folge 248 des Android Central-Podcasts haben wir ausführlich darüber gesprochen, dass es den Medien (einschließlich uns selbst) nicht wirklich gut geht qualifiziert, die meisten Sicherheitsprobleme zu analysieren, und hoffte auf mehr Transparenz von den Leuten, die qualifiziert sind – wie z Ludwig. Wir sind ziemlich begeistert, dass wir von nun an über eine historische Aufzeichnung der Sicherheitsbulletins und ihrer Patches verfügen. Dies ist eine großartige Ressource für alle, nicht nur für Leute, die als Journalist versuchen, etwas über Sicherheit und Android herauszufinden. Es ist nicht perfekt, aber es ist ein toller Anfang.
Wir hoffen, dass die Anbieter, die die meisten Android-Telefone herstellen, diesem Beispiel folgen. Es ist großartig, dass Google uns über Updates und Patches für die Nexus-Reihe und die entsprechenden Patches für AOSP informiert, aber zu wissen, wann Samsung oder LG oder Motorola wird die Korrekturen einarbeiten. Wenn nicht, ist es ebenso wichtig, welche Telefone gepatcht werden und wann Updates versendet werden sollen mehr.
Für den Moment ist dies alles eine Pflichtlektüre für jeden, der eine ernsthafte Diskussion über die Android-Sicherheit in der Zukunft führen möchte.
Lesen Sie hier die Google-Gruppe zu Android-Sicherheitsupdates
Bildquelle: Ludwigs BlackHat-Folien