Оновлювати чи не оновлювати прошивку на власному телефоні кожен вирішує самостійно.
Хтось ставить CyanogenMod, хтось не почувається господарем пристрою без TWRP чи jailbreak.
У разі оновлення корпоративних мобільних телефонів процес має бути відносно одноманітним, інакше IT-шникам навіть Рагнарек здасться забавою.
Про те, як це відбувається у «корпоративному» світі, читайте під катом.
Короткий ЛікБез
Мобільні пристрої на базі iOS отримують регулярні оновлення аналогічно до пристроїв на Windows, але при цьому:
- оновлення виходять рідше;
- Оновлення отримує більшість пристроїв, але не всі.
Apple випускає оновлення iOS відразу для більшості своїх пристроїв, окрім тих, що знімаються з підтримки. При цьому Apple підтримує свої пристрої досить довго. Наприклад, оновлення iOS 14 отримають навіть iPhone 6s, що вийшли 2015 року. Звичайно, не обходиться без одвірків, типу примусового уповільнення старих апаратів, яке, як стверджується, було зроблено не з метою змусити купити новий телефон, а для продовження терміну служби старого акумулятора… Але в будь-якому випадку це краще, ніж ситуація з Android.
Android – це насправді своєю франшиза. Оригінальний Android від Google зустрічається лише на пристроях лінійки Pixel та бюджетних пристроях, які беруть участь у програмі Android One. На інших пристроях зустрічаються лише похідні від Android – EMUI, Flyme OS, MIUI, One UI тощо. Для безпеки мобільних пристроїв така різноманітність – велика проблема.
Наприклад, "спільнота" знаходить чергову вразливість в Android або системних компонентах, що лежать у його основі. Далі вразливості присвоюється номер в базі CVE, який знаходить отримує винагороду по одній з баунті-програм від Google, а потім Google випускає латку і включає її в черговий реліз Android.
Чи отримає її ваш телефон, якщо він не Pixel чи не учасник Android One?
Якщо ви купили новий пристрій рік тому, то, мабуть, так, але не одразу. Виробнику вашого пристрою ще потрібно буде включити патч Google у свою збірку Android і протестувати її на підтримуваних моделях пристроїв. Топові моделі підтримують трохи довше. Всім іншим залишається змиритися і не читати вранці базу CVE, щоб не псувати собі апетит.
Ситуація з мажорними оновленнями Android, як правило, ще гірша. У середньому нова мажорна версія докочується до мобільних пристроїв з кастомними Android не менше, ніж за квартал, а то й більше. Так оновлення Android 10 від Google вийшло у вересні 2019 року, а пристрої різних виробників, яким пощастило заслужити можливість оновлення, отримували його аж до літа 2020 року.
Виробників можна зрозуміти. Випуск та тестування нових прошивок – це витрати і не малі. Оскільки пристрої ми вже купили, то додаткових грошей з нас не отримати.
Залишається … змушувати нас купувати нові пристрої.
Дірявість збірок Android окремих виробників спричинила те, що Google змінив архітектуру Android, щоб доставляти критичні оновлення самостійно. Проект отримав назву Google Project Zero, близько року тому про нього писали на Хабрі. Фіча відносно нова, але вбудована в усі пристрої з 2019 року, де є сервіси Google. Багато хто знає, що ці послуги платні для виробників пристроїв, які платять за них роялті в Google, але мало хто знає, що справа не обмежується комерцією. Щоб отримати дозвіл на використання сервісів Google на конкретному пристрої, виробник повинен віддати свою прошивку в Google на перевірку. При цьому Google не приймає на перевірку прошивки зі стародавніми Android. Це дозволяє Google нав'язувати ринку свій Project Zero, що, сподіваємося, зробить Android пристрої більш безпечними.
Рекомендації корпоративним користувачам
У корпоративному світі використовуються не лише публічні програми, доступні в Google Play та App Store, але й програми власної розробки. Іноді життєвий цикл таких додатків припиняється під час підписання акта прийому-передачі та оплати послуг розробника за договором.
У цьому випадку встановлення нового мажорного оновлення операційної системи часто призводить до того, що такі job-is-done програми перестають працювати. Бізнес-процеси зупиняються, а розробників наймають повторно до наступного косяка. Те саме трапляється, коли корпоративні розробники не встигають вчасно адаптувати свої програми під нову ОС або нова версія програми вже доступна, але користувачі її ще не встановили. У тому числі для вирішення таких проблем призначені системи класу .
UEM системи забезпечують оперативне керування смартфонами та планшетами, своєчасно встановлюючи та оновлюючи програми на пристроях мобільних співробітників. Крім того, вони можуть відкотити версію програми до попередньої у разі потреби. Можливість відкочування версії назад є ексклюзивною фішкою UEM систем. Ні Google Play, ні App Store такої можливості не надають.
UEM системи можуть віддалено заблокувати чи відкласти оновлення прошивки мобільних пристроїв. Поведінка залежить від платформи та виробника пристроїв. На iOS у режимі supervised (про режим читайте у нашому ) можна відкласти оновлення до 90 днів. Для цього достатньо налаштувати відповідну безпекову політику.
На Android пристрої виробництва Samsung можна безкоштовно заборонити оновлення прошивки або скористатися додатковим платним сервісом E-FOTA One, за допомогою якого можна вказати які оновлення ОС встановлювати на пристрої. Це дає адміністраторам можливість попередньо перевірити поведінку корпоративних програм на нових прошивках своїх пристроїв. Розуміючи трудомісткість цього процесу, ми пропонуємо своїм замовникам сервіс на базі Samsung E-FOTA One, що включає послуги перевірки працездатності цільових бізнес-додатків на моделях пристроїв, що використовуються у замовника.
На Android пристроях інших виробників аналогічної функціональності, на жаль, немає.
Заборонити або відкласти їх оновлення можна, хіба що за допомогою страшилок типу:
"Шановні користувачі! Не оновлюйте пристрої. Це може призвести до непрацездатності програм. При порушенні цього правила ваші звернення до служби технічної підтримки розглядатися/вислуховуватись НЕ БУ-ДУТ!».
Ще одна рекомендація
Слідкуйте за новинами та корпоративними блогами виробників операційних систем, пристроїв та платформ UEM. Буквально цього року Google вирішив від підтримки однієї з можливих мобільних стратегій, а саме fully managed device with work profile.
За цією довгою назвою ховається наступний сценарій:
До Android 10 UEM-системи повноцінно керували пристроєм И робочим профілем (контейнером), в якому містяться корпоративні програми та дані.
Починаючи з Android 11, можливий повноцінний функціонал керування тільки АБО пристроєм АБО робочим профілем (контейнером).
Google пояснює нововведення турботою про конфіденційність даних користувачів та свій гаманець. Якщо є контейнер, дані користувача повинні знаходитися поза зоною видимості та управління з боку роботодавця.
На практиці це означає, що дізнатися розташування корпоративних пристроїв або поставити додатки, необхідні користувачеві для роботи, але не вимагають розміщення в контейнері для забезпечення захисту корпоративних даних, відтепер неможливо. Або для цього доведеться відмовитися від контейнера.
Google стверджує, що такий доступ до особистого простору відлякував 38% користувачів від установки UEM. Тепер UEM-вендорам залишається «їсти що дають».
Ми заздалегідь підготувалися до нововведень і цього року запропонуємо нову версію , яка враховуватиме нові вимоги Google.
маловідомі факти
На завершення ще кілька маловідомих фактів щодо оновлення мобільних ОС.
- Прошивки на мобільних пристроях іноді можна відкатати. Як показує аналіз пошукових фраз, фразу як відновити Android шукають частіше, ніж оновлення Android. Здавалося б, фарш не можна провернути назад, але іноді таки можна. Технічно захист від відкату базується на внутрішньому лічильнику, який збільшується не з кожною версією прошивки. В рамках одного значення цього лічильника відкат стає можливим. Це те, що стосується Android. У iOS ситуація трохи відрізняється. З сайту виробника (або безліч дзеркал) можна завантажити образ iOS конкретної версії для конкретної моделі. Щоб встановити його за допомогою iTunes, Apple повинен підписати прошивку. Зазвичай у перші кілька тижнів після виходу нової версії iOS Apple підписує попередні версії прошивок, щоб користувачі, чиї пристрої після оновлення глючать, могли повернути більш стабільний білд.
- У часи, коли jailbreak співтовариство ще не розбіглося по великих компаніях, можна було змінити версію iOS, що відображається, в одному із системних plist. Так можна було, наприклад, зробити iOS 6.2 із iOS 6.3 і назад. Навіщо це було потрібно, розповімо в одній із наступних статей.
- Очевидне загальне кохання виробників до програми для прошивки смартфонів Odin. Кращого інструменту для прошивки ще не зробили.
Пишіть, обговоримо... може і допоможемо.
Джерело: habr.com