Het is aan iedereen om zelf te beslissen of de firmware op een persoonlijke telefoon wel of niet moet worden bijgewerkt.
Sommige mensen installeren CyanogenMod, anderen voelen zich geen eigenaar van een apparaat zonder TWRP of jailbreak.
In het geval van het updaten van bedrijfsmobiele telefoons moet het proces relatief uniform zijn, anders zal zelfs Ragnarok leuk lijken voor IT-mensen.
Lees hieronder hoe dit gebeurt in de “corporate” wereld.
Kort gezicht zonder
Op iOS gebaseerde mobiele apparaten ontvangen regelmatig updates, vergelijkbaar met Windows-apparaten, maar tegelijkertijd:
- updates worden minder vaak uitgebracht;
- De meeste apparaten ontvangen updates, maar niet allemaal.
Apple brengt de iOS-update onmiddellijk uit voor de meeste apparaten, behalve voor apparaten die niet langer worden ondersteund. Tegelijkertijd ondersteunt Apple zijn apparaten al geruime tijd. Zo zal zelfs de in 14 uitgebrachte iPhone 6s de iOS 2015-update ontvangen. Natuurlijk zijn er enkele problemen, zoals de gedwongen vertraging van oudere apparaten, die naar verluidt niet is gedaan om u te dwingen een nieuwe telefoon te kopen, maar om de levensduur van de oude batterij te verlengen... Maar hoe dan ook, dit is beter dan de situatie met Android.
Android is in wezen een franchise. Het originele Android van Google is alleen te vinden op Pixel-toestellen en budgettoestellen die deelnemen aan het Android One-programma. Op andere apparaten zijn er alleen afgeleiden van Android - EMUI, Flyme OS, MIUI, One UI, enz. Voor de beveiliging van mobiele apparaten is deze diversiteit een groot probleem.
Zo vindt de ‘community’ nog een kwetsbaarheid in Android of de systeemcomponenten die daaraan ten grondslag liggen. Vervolgens krijgt de kwetsbaarheid een nummer in de CVE-database, krijgt de vinder een beloning via een van de bountyprogramma’s van Google, en pas daarna brengt Google een patch uit en neemt deze op in de volgende Android-release.
Krijgt uw telefoon deze als deze geen Pixel is of deel uitmaakt van het Android One-programma?
Als je een jaar geleden een nieuw apparaat hebt gekocht, dan waarschijnlijk wel, maar niet meteen. De fabrikant van uw apparaat moet de patch van Google nog steeds opnemen in de Android-build en deze testen op ondersteunde apparaatmodellen. Topmodellen ondersteunen iets langer. Alle anderen moeten het gewoon accepteren en 's ochtends de CVE-database niet lezen om hun eetlust niet te bederven.
De situatie bij grote Android-updates is meestal nog erger. Gemiddeld bereikt een nieuwe hoofdversie mobiele apparaten met aangepast Android in minstens een kwart, of zelfs meer. Dus de Android 10-update van Google werd uitgebracht in september 2019, en apparaten van verschillende fabrikanten die het geluk hadden de kans te krijgen om te updaten, ontvingen deze tot de zomer van 2020.
Fabrikanten kunnen worden begrepen. Het uitbrengen en testen van nieuwe firmware brengt kosten met zich mee, en geen kleine kosten. En aangezien we de apparaten al hebben aangeschaft, krijgen we geen extra geld.
Het enige dat overblijft is... ons te dwingen nieuwe apparaten te kopen.
Lekkende Android-builds van individuele fabrikanten zorgden ervoor dat Google de Android-architectuur veranderde om zelfstandig kritische updates te kunnen leveren. Het project heette Google Project Zero, ongeveer een jaar geleden schreven ze erover op Habré. De functie is relatief nieuw, maar is sinds 2019 ingebouwd in alle apparaten die over Google-services beschikken. Veel mensen weten dat deze diensten worden betaald door apparaatfabrikanten, die er royalty's voor betalen aan Google, maar weinigen weten dat dit niet beperkt blijft tot de handel. Om toestemming te krijgen om Google-services op een specifiek apparaat te gebruiken, moet de fabrikant de firmware ter beoordeling bij Google indienen. Tegelijkertijd accepteert Google geen firmware met oude Androids ter verificatie. Hierdoor kan Google Project Zero op de markt brengen, wat hopelijk Android-apparaten veiliger zal maken.
Aanbevelingen voor zakelijke gebruikers
In de bedrijfswereld worden niet alleen publieke applicaties gebruikt die beschikbaar zijn op Google Play en de App Store, maar ook zelf ontwikkelde applicaties. Soms eindigt de levenscyclus van dergelijke applicaties op het moment van ondertekening van het acceptatiecertificaat en betaling voor de diensten van de ontwikkelaar onder het contract.
In dit geval zorgt het installeren van een nieuwe grote OS-update er vaak voor dat dergelijke 'job-is-done'-applicaties niet meer werken. Bedrijfsprocessen worden stopgezet en ontwikkelaars worden opnieuw aangenomen totdat het volgende probleem zich voordoet. Hetzelfde gebeurt wanneer bedrijfsontwikkelaars geen tijd hebben om hun applicaties op tijd aan te passen aan een nieuw besturingssysteem, of als er al een nieuwe versie van de applicatie beschikbaar is, maar gebruikers deze nog niet hebben geïnstalleerd. In het bijzonder zijn klassensystemen ontworpen om dergelijke problemen op te lossen .
UEM-systemen bieden operationeel beheer van smartphones en tablets, waarbij applicaties snel worden geïnstalleerd en bijgewerkt op de apparaten van mobiele werknemers. Bovendien kunnen ze indien nodig de applicatieversie terugdraaien naar de vorige. De mogelijkheid om een versie terug te draaien is een exclusieve functie van UEM-systemen. Noch Google Play, noch de App Store bieden deze optie.
UEM-systemen kunnen firmware-updates voor mobiele apparaten op afstand blokkeren of vertragen. Gedrag verschilt per platform- en apparaatfabrikant. Op iOS in bewaakte modus (lees meer over de modus in onze ) kunt u de update tot 90 dagen uitstellen. Om dit te doen, hoeft u alleen maar het juiste beveiligingsbeleid te configureren.
Op Android-apparaten van Samsung kunt u firmware-updates gratis verbieden of gebruik maken van de extra betaalde dienst E-FOTA One, waarmee u kunt opgeven welke OS-updates u op het apparaat wilt installeren. Dit geeft beheerders de mogelijkheid om het gedrag van bedrijfsapplicaties vooraf te testen op nieuwe firmware van hun apparaten. Omdat we de complexiteit van dit proces begrijpen, bieden we onze klanten een service aan op basis van Samsung E-FOTA One, die services omvat voor het controleren van de functionaliteit van de doelbedrijfsapplicaties op de apparaatmodellen die door de klant worden gebruikt.
Helaas is er geen vergelijkbare functionaliteit op Android-apparaten van andere fabrikanten.
Je kunt hun update verbieden of uitstellen, behalve misschien met behulp van horrorverhalen, zoals:
"Beste gebruikers! Update uw apparaten niet. Dit kan ervoor zorgen dat applicaties niet werken. Als deze regel wordt overtreden, worden uw verzoeken aan de technische ondersteuningsdienst NIET in behandeling genomen/geluisterd!”.
Nog een aanbeveling
Volg nieuws en bedrijfsblogs van fabrikanten van besturingssystemen, apparaten en UEM-platforms. Dit jaar besloot Google van het ondersteunen van een van de mogelijke mobiele strategieën, namelijk een volledig beheerd apparaat met werkprofiel.
Achter deze lange titel schuilt het volgende scenario:
Vóór Android 10 werden UEM-systemen volledig beheerd inrichting И werknemers profiel (container), dat bedrijfsapplicaties en gegevens bevat.
Vanaf Android 11 is volledige controlefunctionaliteit alleen mogelijk ИЛИ inrichting ИЛИ werkprofiel (container).
Google legt de innovaties uit door zorg te dragen voor de privacy van gebruikersgegevens en zijn portemonnee. Als er sprake is van een container, moeten de gebruikersgegevens buiten de zichtbaarheid en controle van de werkgever vallen.
In de praktijk betekent dit dat het nu onmogelijk is om de locatie van bedrijfsapparaten te achterhalen of applicaties te installeren die de gebruiker nodig heeft voor zijn werk, maar die niet in een container hoeven te worden geplaatst om de bescherming van bedrijfsgegevens te garanderen. Of hiervoor moet je de container achterlaten...
Google beweert dat deze toegang tot persoonlijke ruimte 38% van de gebruikers ervan weerhield UEM te installeren. Nu moeten UEM-leveranciers ‘eten wat ze geven’.
We hebben ons vooraf voorbereid op innovaties en zullen dit jaar een nieuwe versie aanbieden , waarbij rekening wordt gehouden met de nieuwe vereisten van Google.
Weinig bekende feiten
Tot slot nog een paar weinig bekende feiten over het updaten van mobiele besturingssystemen.
- Firmware op mobiele apparaten kan soms worden teruggedraaid. Uit een analyse van zoektermen blijkt dat er vaker wordt gezocht naar de zinsnede ‘hoe Android te herstellen’ dan naar ‘Android-update’. Het lijkt erop dat de vulling niet kan worden teruggedraaid, maar soms is het nog steeds mogelijk. Technisch gezien is de terugdraaibeveiliging gebaseerd op een interne teller, die niet bij elke firmwareversie toeneemt. Binnen één waarde van deze teller wordt een rollback mogelijk. Dit is waar Android om draait. Op iOS is de situatie iets anders. Vanaf de website van de fabrikant (of talloze mirrors) kun je een iOS-afbeelding downloaden van een specifieke versie voor een specifiek model. Om het via de draad te kunnen installeren met iTunes, moet Apple de firmware ondertekenen. Normaal gesproken ondertekent Apple in de eerste paar weken na de release van een nieuwe versie van iOS eerdere versies van de firmware, zodat gebruikers van wie de apparaten na de update fouten bevatten, kunnen terugkeren naar een stabielere build.
- In een tijd dat de jailbreakgemeenschap zich nog niet had verspreid over grote bedrijven, was het mogelijk om de versie van de weergegeven iOS-versie in een van de systeemplists te wijzigen. Zo was het bijvoorbeeld mogelijk om van iOS 6.2 en terug iOS 6.3 te maken. Waarom dit nodig was, vertellen we je in een van de volgende artikelen.
- De universele liefde van fabrikanten voor het Odin-smartphonefirmwareprogramma is duidelijk. Het beste hulpmiddel voor flitsen is nog niet gemaakt.
Schrijf, laten we bespreken... misschien kunnen we helpen.
Bron: www.habr.com