وصله امنیتی اندروید چیست و چرا اهمیت دارد؟
اگر شما اخیراً یک گوشی اندروید خریده باشید این احتمال وجود دارد که بلافاصله بعد از پیکربندی و اتصال دستگاه به اینترنت، یک یا دو بهروزرسانی امنیتی، وصله امنیتی یا همان پچ (Security Patch) در اختیار شما قرار گرفته باشد.
به گزارش مجله زیبایی سبز به نقل از تکفارس،احتمالاً متوجه شدهاید که این بهروزرسانیها ویژگی و قابلیت جدید خاصی به دستگاه شما اضافه نمیکنند. در عوض در توضیحات این بهروزرسانیهای کمحجم که معمولاً چند صد مگابایت هستند، حرف از تضمین امنیت دستگاه شما زده میشود. این بهروزرسانیها از بهروزرسانیهای نرمافزاری حجیمتری مانند اندروید ۱۲ کاملاً مستقل هستند و هدف آنها نیز کاملاً متفاوت است.
با وجود آن که این وصلههای امنیتی کاملاً بیمصرف، زمانگیر و بیفایده به نظر میرسند اما مهم و حائز اهمیت هستند و نباید وجود آنها را بیارزش در نظر بگیرید. همانطور که میدانید قرار دادن دستگاه در مقابل نشت بالقوه اطلاعات و حملههای خصمانه برای هیچکس ایدهآل نیست و احتمالاً شما هم دوست ندارید که امنیت خود را به خطر بیندازید.
بنابراین ما در این مقاله نگاهی سریع بر بحث بهروزرسانیهای امنیتی اندروید خواهیم داشت. ما چگونگی کار آنها، اهمیت و دلیلی که باید به آنها توجه کنید را مورد بررسی قرار خواهیم داد تا شاید تصور شما راجع به آنها تغییر کند.
بهروزرسانیهای نرمافزاری اندروید چه هستند؟
هسته اصلی سیستم عامل اندروید یا همان پروژه متن باز اندروید همانطور که از نامش مشخص است، «متن باز» (Open-Source) است. این به معنای آن است که گوگل اندروید را توسعه و از آن مراقبت میکند اما تمام افراد شخص ثالث هم میتوانند کد آن را ببیند و ویرایش کنند.
این ویژگی به آنها اجازه میدهد که پیشنهاد ارائه داده و حتی نسخه شخصیسازی شده خودشان را از اندروید توسعه دهند. مورد آخر دقیقاً همان دلیلی است که برای مثال گوشیهای سامسونگ میتوانند از نرمافزار یا در حقیقت رابط کاربری متفاوتی نسبت به محصولات شیائومی یا وان پلاس استفاده کنند.
کوتاهتر بگوییم، شرکتهای سازنده گوشیهای هوشمند میتوانند ویژگیها، قابلیتها و خصیصههای مورد نیاز و مورد علاقه خود را روی پایهای بنا گذارند که گوگل آن را تحت نام اندروید ارائه میدهد.
اما چرا این موضوع اهمیت دارد و ما نیز به آن اشاره کردیم؟ در حقیقت، هر از چند گاهی محققان حوزه امنیت به لطف این قابلیت متن باز بودن، باگها و رخنههای امنیتی سیستم عامل را مییابند و آن را به گوگل گزارش میکنند.
به محض این که مشکل مربوطه تشخیص داده شود، گوگل یک وصله برای آن حاضر میکند، آن را در پروژه متن باز اندروید رفع کرده و سپس طی یک بهروزرسانی موسوم به «بهروزرسانی وصلههای امنیتی» در اختیار گوشیهای هوشمندی قرار میدهد که واجد شرایط دریافت آن هستند.
به عبارت «واجد شرایط» در خط قبل توجه کنید؛ این نشان میدهد که بسیاری از دستگاههای اندرویدی واجد شرایط دریافت این وصلههای امنیتی نیستند. بسیاری از باگها و رخنههای امنیتی کاملاً آشکار در گوشیها و تبلتهای بیشماری به قوت خود باقی میمانند و حتی اگر رفع شوند، این اتفاق به سرعت رخ نمیدهد.
البته محققان معمولاً این مشکلات را تا پیش از عرضه وصلههای امنیتی به صورت عمومی مطرح نمیکنند. این موضوع در بحثهای اجتماعی با نام «افشای مسئولانه» (Responsible Disclosure) شناخته میشود.
به این ترتیب وصلههای امنیتی معمولاً به صورت مستقل منتشر نمیشوند بلکه در یک پکیج متشکل از چندین وصله در اختیار کاربران اندروید قرار میگیرند.
گوگل این مشکلات را به تمام شرکتهایی که از اندروید در محصولاتشان استفاده میکنند، اطلاع میدهد، در نتیجه آنها میتوانند به صورت همزمان و حتی سریعتر از گوگل، باگهای موجود را رفع کنند. با این حال در واقعیت بسیاری از گوشیهای اندروید وصلههای امنیتی را به صورت ماهانه دریافت نمیکنند که در ما در مبحث بعدی، این موضوع را دقیقتر بررسی خواهیم کرد.
افزون بر بهروزرسانیهای اصلی سیستم عامل اندروید، چنین وصلههایی نیز میتوانند روی چند بخش تاثیر بگذارند. برای مثال تراشه یا نمایشگر دستگاه شما میتواند توسط شرکتهای شخص ثالث سازنده این قطعات نظیر کوالکام، مدیاتک یا سامسونگ هدف برخی از بهروزرسانیهای بهخصوص قرار گیرند.
این قطعات و بخشهای حیانی پیوسته با سیستم عامل اندروید در ارتباط هستند، بنابراین کدهای مربوط به آنها در مرور زمان میتوانند محل رخنه بدافزارها شوند. به همین دلیل آنها هم باید هر از چند گاهی وصلههای امنیتی ضروری را دریافت کنند. بعد از این که وصلهها آماده میشوند، شرکت سازنده دستگاه شما میتواند در خصوص عرضه آن تصمیم بگیرد.
برخی از گوشیهای جدید این وصلهها و بهروزرسانیها را به صورت ماهانه دریافت میکنند در حالی که دستگاههای قدیمیتر یا پایینرده چنین بهروزرسانیهایی را هر سه ماه یا حتی هر یک سال دریافت میکنند.
به عنوان بخشی از توافقنامهای سرویسهای موبایل گوگل که اکثر شرکتهای تولید کننده آن را امضا میکنند، آنها باید وصلههای امنیتی را حداقل تا ۲ سال اول چرخه حیات یک گوشی عرضه کنند و در این مدت به پشتیبانی از محصول اندرویدی خود ادامه دهند.
چطور باید متوجه شد که وصلههای امنیتی شامل چه چیزی هستند؟
عموماً اندروید دو سطح از بهروزرسانیهای امنیتی را هر ماه عرضه میکند: شماره احراز یکی از آنها با ۰۱ و دیگری با ۰۵ به اتمام میرسد. اولی شامل راه حلهای رفع برخی از باگها برای تمام مشکلات مربوط به پروژه متن باز اندروید است در حالی که دومی به حل مشکلات مربوط به اجزای شخص ثالث باز میگردد. همچنین گوگل هر ماه با انتشار یک بیانیه محتوای موجود در هر وصله امنیتی و آسیبپذیریهای رفع شده را در وبسایت رسمی خود به اطلاع عموم میرساند.
برای مثال با بررسی بیانیه وصله امنیتی ماه اکتبر ۲۰۲۱ میلادی میتوان بیش از ۱۰ عدد آسیبپذیری که توسط گوگل رفع شدهاند را مشاهده کرد. هر یک از مشکلات مذکور با استفاده از CVE و همچنین سطح آسیبپذیری نمایش داده میشوند.
همچنین این صفحه وبسایت گوگل نشان میدهد که هر یک از این حفرههای امنیتی تا چه اندازه میتوانند روی دستگاههای اندروید تاثیر بگذارند. برای مثال REC یا اکسپلویت Remote Code Execution اجازه میدهد که یک مهاجم دستورات بدافزار را روی یک دستگاه دیگر در راه دور اجرا کند.
البته این اطلاعات برای بسیاری از کاربران فاقد ارزش هستند و آنها نیازی به دانستن این مشکلات ندارند. پس نیاز نیست شما حتماً محتوای وصلههای امنیتی که برای دستگاه شما منتشر میشوند را بررسی کنید؛ بسیاری از آنها اصولاً خارج از استفاده و حتی فهم و نیاز شما هستند.
بیشتر وصلههای امنیتی ابداً دارای ویژگیهای جدید نیستند و یا تجربه کلی کاربر را تغییر نمیدهند. معمولاً ویژگیهای جدید در بهروزرسانیهای نرمافزاری اصلی، سالانه در آپدیتهایی نظیر اندروید ۱۲ در دسترس قرار میگیرند.
شرکتهای سازنده گوشیهای اندروید پرتعدادی از این زمان برای عرضه بهروزرسانیهای اضافه استفاده میکنند تا ویژگیهای جدید را هم پیش از عرضه نسخه جدید اندروید در اختیار کاربرانشان قرار دهند. از اینرو برخی از آنها ویژگیها و وصلههای امنیتی را کنار همدیگر در اختیار کاربران قرار میدهند.
این شرکتها از جمله سامسونگ، نوکیا و حتی خود گوگل وصلههای امنیتی شخصیسازی شدهای را توسعه میدهند. زیرا دستگاهها شامل باگهای منحصربهفرد و اکسپلویتهای متمایزی هستند که هر وصلهای نمیتواند روی آنها تاثیر بگذارد.
همانطور که بالاتر اشاره کردیم، شما میتوانید این تغییرات را در چنین صفحههایی در وبسایت رسمی خود شرکتها بیابید. موردی که به آن لینک دادیم مربوط به سامسونگ است ولی مسلماً میتوانید با یک جستوجوی ساده، به سایر وبسایتها هم راه پیدا کرده و محتویات وصله امنیتی که به تازگی توسط شرکت سازنده گوشی شما عرضه شده است را بررسی کنید.
وصلههای امنیتی از طریق پلی استور
گوشیهای جدیدتری که به اجرای اندروید ۱۰ یا بالاتر میپردازند، واجد شرایط دریافت وصلههای امنیتی حساس و فوری از طریق پلی استور هستند. این فرایند به لطف پروژه Mainline گوگل انجام شده است که هدف آن راحتتر کردن ارائه بهروزرسانیهای نرمافزاری است.
طی این پروژه برخی از بهروزرسانیها و وصلههای امنیتی بخشهای مختلف اندروید میتوانند فارغ از سیاست و اجازه شرکتهای تولید کننده از طریق پلی استور عرضه شوند.
از آنجایی که هر دو روش ارائه وصلههای امنیتی از یکدیگر مستقل هستند، شاید دستگاه شما دارای دو تاریخ مختلف دریافت وصلههای امنیتی باشد. شما میتوانید تاریخ دقیق عرضه آخرین وصله امنیتی دستگاه خود را در قسمت Settings > About Phone > Android Version و زیر سرتیتر Android Security Update مشاهده کنید.
دلیل اصلی وجود دو کانال و دو تاریخ، فراهم شدن امکان دریافت وصلههای امنیتی برای دستگاههای قدیمیتر از طریق پلی استور است.
اگر اکسپلویت خطرناکی نظیر Stagefright باری دیگر ظهور کند یا چیزی در سطح آن ساخته و منتشر شود، مشکل بزرگی برای دستگاههایی رخ خواهد داد که وصلههای امنیتی را از سمت شرکتهای سازنده دریافت نمیکنند. آنجاست که وصلههای امنیتی مهم میتوانند از طریق پلی استور در اختیار گوشیهای اندروید قرار بگیرند.
هر چند وقت باید منتظر وصلههای امنیتی باشیم؟
با توجه به سیاست کنونی شرکتهای سازنده دستگاههای اندروید شما میتوانید تا چند سال و حتی فراتر از مدت زمان پشتیبانی بهروزرسانیهای نرمافزاری، منتظر دریافت وصلههای امنیتی باشید.
اجازه دهید گلکسی نوت ۸ را مثال بزنیم؛ این دستگاه در فوریه ۲۰۱۹ اندروید ۹ یعنی آخرین بهروزرسانی نرمافزاری خود را دقیقاً ۲ سال پس از عرضه اولیه دستگاه دریافت کرد. با این حال این گوشی وصلههای امنیتی را تا میانه سال ۲۰۲۱ میلادی تقریباً تا چند ماه پیش دریافت میکرد.
مدت زمان دقیق عرضه این وصلههای امنیتی از یک برند به برندی دیگر متفاوت است. حتی دستگاههای یک شرکت نیز چرخه بهروزرسانی متفاوتی دارند.
گوگل با عرضه پیکسل ۶ شروع به پشتیبانی از عرضه بهروزرسانیهای نرمافزاری تا ۳ سال و وصلههای امنیتی تا ۵ سال کرد. سامسونگ بزرگترین شرکت سازنده و عرضه کننده گوشیهای اندروید در سراسر جهان حداکثر تا ۴ سال وصلههای امنیتی و ۳ سال بهروزرسانیهای نرمافزاری اندروید را برای تمام گوشیهای عرضه شده بعد از سال ۲۰۱۹ ارائه میکند.
شرکتهای دیگر مثل شیائومی، نوکیا و وان پلاس برای تمام محصولاتشان از این سیاست پیروی نمیکنند اما اغلب آنها حداقل ارائه ۲ سال پشتیبانی نرمافزاری و ۳ سال عرضه وصلههای امنیتی را تعهد میدهند.
در نتیجه در حال حاضر گوگل و سامسونگ در این زمینه بلندترین و همچنین سریعترین عملکرد را ارائه میدهند. گوشیهای بالارده سامسونگ مثل گلکسی S21 وصلههای امنیتی را هر یک یا دو ماه دریافت میکنند و این فرایند به شکلی منظم ادامه پیدا میکند. هرچند گوشیهای میانرده و پایینرده چنین سطحی از توجه را شامل نمیشوند ولی نهایتاً بهروزرسانیهای ضروری را هر چند ماه دریافت میکنند.
شایان ذکر است که این بازههای زمانی توسط شرکتها تعیین میشوند و ممکن است که هر زمان و بنا به شرایط روز تغییر کنند. طی سالهای گذشته و طبق تجربه ما دستگاههای زیادی را دیدیم که پیش از رسیدن به زمان تعهد شرکت، به پایان چرخه عمر خود رسیدهاند و برخی دیگر حتی پس از آن نیز پشتیبانی شدهاند.
در حقیقت طیف اصلی دستگاهها معمولاً ویژگیها و وصلههای امنیتی را حتی بیشتر از زمان اعلام شده دریافت میکنند. نیازی به گفتن نیست که اگر وصلههای امنیتی اولویت بالایی برای شما دارند، باید به خرید گوشی برندهایی بپردازید که تاکنون عملکرد خوبی در این زمینه به نمایش گذاشتهاند.
سوالات متداول:
وصله امنیتی اندروید چیست؟
- وصله امنیتی یا همان پچ بستههای نرمافزاری هستند که گوگل یا شرکتهای دیگر هر از چند گاهی برای رفع نقاط رخته سیستم عامل اندروید عرضه میکنند.
آیا وصلههای امنیتی اندروید کارآمد و ضروری هستند؟
- بله البته؛ با وجود آن که این وصلههای امنیتی کاملاً بیمصرف، زمانگیر و حجمبر به نظر میرسند اما مهم و حائز اهمیت هستند. همانطور که میدانید قرار دادن دستگاه در مقابل نشت بالقوه اطلاعات و حملههای خصمانه برای هیچکس ایدهآل نیست. پیشنهاد میشود که آنها را در اولین فرصت دانلود کنید.
