Абнаўляць ці не абнаўляць прашыўку на асабістым тэлефоне кожны вырашае самастойна.
Нехта ставіць CyanogenMod, нехта не адчувае сябе гаспадаром прылады без TWRP ці jailbreak.
У выпадку з абнаўленнем карпаратыўных мабільных тэлефонаў працэс павінен быць адносна аднастайным, інакш IT-шнікам нават Рагнарок здасца забавай.
Пра тое, як гэта адбываецца ў "карпаратыўным" свеце, чытайце пад катом.
Кароткі ЛікБез
Мабільныя прылады на базе iOS атрымліваюць рэгулярныя абнаўленні аналагічна прыладам на Windows, але пры гэтым:
- абнаўленні выходзяць радзей;
- абнаўлення атрымлівае большасць прылад, але не ўсё.
Apple выпускае абнаўленне iOS адразу для большасці сваіх прылад, акрамя тых, якія здымаюцца з падтрымкі. Пры гэтым Apple падтрымлівае свае прылады дастаткова доўга. Напрыклад, абнаўленне iOS 14 атрымаюць нават iPhone 6s, якія выйшлі ў 2015 годзе. Вядома, не абыходзіцца без вушакоў, накшталт прымусовага запаволення старых апаратаў, якое, як сцвярджаецца, было зроблена не з мэтай прымусіць купіць новы тэлефон, а для падаўжэння тэрміна службы старога акумулятара… Але ў любым выпадку гэта лепш, чым сітуацыя з Android.
Android - гэта па сутнасці сваёй франшыза. Арыгінальны Android ад Google сустракаецца толькі на прыладах лінейкі Pixel і бюджэтных прыладах, якія ўдзельнічаюць у праграме Android One. На іншых прыладах сустракаюцца толькі вытворныя ад Android - EMUI, Flyme OS, MIUI, One UI і г.д. Для бяспекі мабільных прылад такая разнастайнасць - вялікая праблема.
Напрыклад, "супольнасць" знаходзіць чарговую ўразлівасць у Android або сістэмных кампанентах, якія ляжаць у яго аснове. Далей уразлівасці прысвойваецца нумар у базе CVE, які знайшоў атрымлівае ўзнагароду па адной з баунті-праграм ад Google, а ўжо потым Google выпускае латку і ўключае яе ў чарговы рэліз Android.
Ці атрымае яе ваш тэлефон, калі ён не Pixel ці не ўдзельнік праграмы Android One?
Калі вы купілі новую прыладу год таму, то, мусіць, так, але не адразу. Вытворцу вашай прылады яшчэ трэба будзе ўлучыць патч Google у сваю зборку Android і пратэставаць яе на падтрымоўваных мадэлях прылад. Топавыя мадэлі падтрымліваюць крыху даўжэй. Усім астатнім застаецца змірыцца і не чытаць па раніцах базу CVE, каб не псаваць сабе апетыт.
Сітуацыя з мажорнымі абнаўленнямі Android, як правіла, яшчэ горш. У сярэднім новая мажорная версія дакочваецца да мабільных прылад з кастамнымі Android не менш, чым за квартал, а то і больш. Так абнаўленне Android 10 ад Google выйшла ў верасні 2019, а прылады розных вытворцаў, якім пашанцавала заслужыць магчымасць абнаўлення, атрымлівалі яго аж да лета 2020 года.
Вытворцаў можна зразумець. Выпуск і тэставанне новых прашывак - гэта выдаткі і не малыя. А бо прылады мы ўжо купілі, то дадатковых грошай з нас не атрымаць.
Застаецца … змушаць нас купляць новыя прылады.
Дзіравасць зборак Android асобных вытворцаў стала чыннікам таго, што Google змяніў архітэктуру Android, каб дастаўляць крытычныя абнаўленні самастойна. Праект атрымаў назву Google Project Zero, каля года таму пра яго пісалі на Хабры. Фіча адносна новая, але яна ўбудавана ва ўсе прылады з 2019 гады, дзе ёсць сэрвісы Google. Многія ведаюць, што гэтыя сэрвісы платныя для вытворцаў прылад, якія плацяць за іх роялці ў Google, але мала хто ведае, што справа не абмяжоўваецца камерцыяй. Каб атрымаць дазвол выкарыстоўваць сэрвісы Google на канкрэтнай прыладзе, вытворца павінен аддаць сваю прашыўку ў Google на праверку. Пры гэтым Google не прымае на праверку прашыўкі са старажытнымі Android. Гэта дазваляе Google навязваць рынку свой Project Zero, што, спадзяемся, зробіць Android прылады больш бяспечнымі.
Рэкамендацыі карпаратыўным карыстальнікам
У карпаратыўным свеце выкарыстоўваюцца не толькі публічныя прыкладанні, даступныя ў Google Play і App Store, але і прыкладанні ўласнай распрацоўкі. Часам жыццёвы цыкл такіх дадаткаў спыняецца ў момант падпісання акта прыёму-перадачы і аплаты паслуг распрацоўшчыка па дагаворы.
У гэтым выпадку ўсталёўка новага мажорнага абнаўлення АС часта прыводзіць да таго, што такія job-is-done прыкладанні перастаюць працаваць. Бізнес-працэсы спыняюцца, а распрацоўшчыкаў наймаюць паўторна да ўзнікнення наступнага вушака. Тое ж самае здараецца, калі карпаратыўныя распрацоўшчыкі не паспяваюць своечасова адаптаваць свае прыкладанні пад новую АС або новая версія прыкладання ўжо даступная, але карыстачы яе яшчэ не ўсталявалі. У тым ліку для вырашэння такіх праблем прызначаны сістэмы класа .
UEM сістэмы забяспечваюць аператыўнае кіраванне смартфонамі і планшэтамі, своечасова усталёўваючы і абнаўляючы прыкладанні на прыладах мабільных супрацоўнікаў. Акрамя таго, яны могуць адкаціць версію дадатку да папярэдняй у выпадку неабходнасці. Магчымасць адкату версіі таму з'яўляецца эксклюзіўнай фішкай UEM сістэм. Ні Google Play, ні App Store такой магчымасці не падаюць.
UEM сістэмы могуць выдалена заблакаваць ці адкласці абнаўленне прашыўкі мабільных прылад. Паводзіны залежыць ад платформы і вытворцы прылад. На iOS у рэжыме supervised (пра рэжым чытайце ў нашым ) можна адкласці абнаўленне да 90 дзён. Для гэтага дастаткова наладзіць адпаведную палітыку бяспекі.
На Android прыладах вытворчасці Samsung можна бясплатна забараніць абнаўленне прашыўкі ці скарыстацца дадатковым платным сэрвісам E-FOTA One, з дапамогай якога можна паказаць якія абнаўленні АС усталёўваць на прылады. Гэта дае адміністратарам магчымасць папярэдне праверыць паводзіны карпаратыўных прыкладанняў на новых прашыўкі сваіх прылад. Разумеючы працаёмкасць гэтага працэсу, мы прапануем сваім заказчыкам сэрвіс на базе Samsung E-FOTA One, які ўключае паслугі праверкі працаздольнасці мэтавых бізнес-прыкладанняў на выкарыстоўваных у заказчыка мадэлях прылад.
На Android прыладах іншых вытворцаў аналагічнай функцыянальнасці, нажаль, не.
Забараніць або адкласці іх абнаўленне можна, хіба што, з дапамогай страшылак, тыпу:
«Паважаныя карыстачы! Не абнаўляйце свае прылады. Гэта можа прывесці да непрацаздольнасці прыкладанняў. Пры парушэнні гэтага правіла вашыя звароты ў службу тэхнічнай падтрымкі разглядацца/выслухоўвацца НЕ БУ-ДУТ!».
Яшчэ адна рэкамендацыя
Сачыце за навінамі і карпаратыўнымі блогамі вытворцаў аперацыйных сістэм, прылад і платформаў UEM. Літаральна ў гэтым годзе Google вырашыў ад падтрымкі адной з магчымых мабільных стратэгій, а менавіта fully managed device with work profile.
За гэтай доўгай назвай хаваецца наступны сцэнар:
Да Android 10 UEM-сістэмы паўнавартасна кіравалі прылада И працоўным профілем (кантэйнерам), У якім змяшчаюцца карпаратыўныя прыкладанні і дадзеныя.
Пачынаючы з Android 11, магчымы паўнавартасны функцыянал кіравання толькі АБО прылада АБО працоўным профілем (кантэйнерам).
Google тлумачыць новаўвядзенні клопатам аб канфiдэнцыяльнасцi дадзеных карыстачоў і сваім кашальку. Калі ёсць кантэйнер, то дадзеныя карыстальніка павінны знаходзіцца па-за зонай бачнасці і кіравання з боку працадаўцы.
На практыцы гэта азначае, што пазнаць месцазнаходжанне карпаратыўных прылад або паставіць прыкладанні, неабходныя карыстачу для працы, але не патрабавальныя размяшчэнні ў кантэйнеры для забеспячэння абароны карпаратыўных дадзеных, з гэтага часу - немагчыма. Альбо для гэтага давядзецца адмовіцца ад кантэйнера…
Google сцвярджае, што такі доступ да асабістай прасторы адпужваў 38% адсоткаў карыстачоў ад усталёўкі UEM. Зараз UEM-вендарам застаецца «есці што даюць».
Мы загадзя падрыхтаваліся да новаўвядзенняў і сёлета прапануем новую версію , якая будзе ўлічваць новыя патрабаванні Google.
Малавядомыя факты
У завяршэнне яшчэ некалькі малавядомых фактаў аб абнаўленні мабільных АС.
- Прашыўкі на мабільных прыладах часам можна адкаціць. Як паказвае аналіз пошукавых фраз, фразу "як аднавіць Android" шукаюць часцей, чым "абнаўленне Android". Здавалася б, фарш нельга пракруціць назад, але часам усё ж можна. Тэхнічна абарона ад адкату грунтуецца на ўнутраным лічыльніку, які павялічваецца не з кожнай версіяй прашыўкі. У рамках аднаго значэння гэтага лічыльніка адкат становіцца магчымы. Гэта тое, што тычыцца Android. У iOS сітуацыя крыху адрозніваецца. З сайта вытворцы (або незлічонай колькасці люстэркаў) можна спампаваць выяву iOS канкрэтнай версіі для канкрэтнай мадэлі. Каб усталяваць яго па провадзе з дапамогай iTunes, Apple павінен падпісаць прашыўку. Звычайна ў першыя некалькі тыдняў пасля выхаду новай версіі iOS Apple падпісвае папярэднія версіі прашывак, каб карыстачы, чые прылады пасля абнаўлення глючаць, маглі вярнуць сабе больш стабільны білд.
- У часы, калі jailbreak супольнасць яшчэ не разбеглася па буйных кампаніях, можна было змяніць версію якая адлюстроўваецца версію iOS у адным з сістэмных plist. Так можна было, напрыклад, зрабіць iOS 6.2/6.3 з iOS XNUMX і назад. Навошта гэта было патрэбна, раскажам у адным з наступных артыкулаў.
- Відавочна ўсеагульнае каханне вытворцаў да праграмы для прашыўкі смартфонаў Odin. Лепшай прылады для прашыўкі яшчэ не зрабілі.
Пішыце, абмяркуем, ... можа і дапаможам.
Крыніца: habr.com