Комментарии 85
Замечательно! Google мне очень помог. Теперь я возьму и… хм. Начну писать перехватчик вызовов win32k.sys? Сделаю push-request в эвристический анализатор используемого антивируса? Буду продолжать не запускать подозрительные файлы?
… напишете на хабре ворчливый отзыв о политике обновлений Microsoft, и этот отзыв, вкупе с десятками тысяч подобных, сподвигнет компанию быстрее выкатить обновление — и, быть может, даже задуматься о том, как быстрее закрывать уязвимости в будущем? :) Мне кажется, что это создаёт нормальный, здоровый баланс — компаниям логично и выгодно сохранять статус кво и не суетиться, пока не прижмёт, а пользователям полезно время от времени пинать компании, чтобы те не расслаблялись.
Надо и в ту и в эту сторону пинать, наверное? Чтобы и процесс тестирования улучшали (это ведь вопрос не только времени, но и организации), и обновления быстрее выкатывали. Я к тому, что вполне объяснимому и логичному с точки зрения бизнеса желанию не тратить деньги попусту, потому что «… всего десять тысяч пользователей с троянами сидят, лишние старания годовой отчёт не улучшат», должно противостоять давление недовольных пользователей (а в пользовательскую удовлетворённость входит и скорость подготовки патчей, и их качество). navion ниже дельный пример привёл — для тех, кто поважнее, и патчи получается делать быстро и качественно.
Если что, я даже не говорю плохо про MS или другие компании — им перед инвесторами отчитываться, с них за лишние телодвижения спросят. Дело пользователей — не молчать, чтобы побольше их интересов имели осязаемый вес для бизнеса. (Или голосовать ногами, но здесь голосовать-то некуда, рынок монопольный.)
Чтобы предотвратить эксплуатацию этой уязвимости до выпуска патча, песочница Chrome теперь блокирует системные вызовы win32k.sys с помощью процедуры локдауна win32k.sys под Windows 10. Таким образом выход из песочницы невозможен.
выходит, что эксплуатация была возможна напрямую из браузера, хотя я не совсем понимаю как
Google отчитался, что отключил win32k.sys от песочницы еще в 42 (точнее в 47) Chrome. Тоже не пойму как.
Одно дело, когда о 0-day уязвимости знают, скажем 1000 злоумышленников за счёт общения в своей среде (и то такую информацию выгоднее придерживать у себя или торговать ей). И совсем другое — когда о ней знает чуть ли не весь IT мир, патча нет, а до многих персональных Win машин он и не дойдёт даже когда будет готов. Google конечно имеет полное право информировать MS согласно своим представлениям о сроках, но такой подход — палка о 2 концах. Получается, если я, скажем, обнаружу уязвимость в Chrome/Chromium, то, аналогично Google, я имею полное моральное право выложить эту информацию в сеть за такое время, которое мне диктуют МОИ представления о сроках? ОК, мои правила говорят, что на патч надо отводить, скажем, 1 час.)) Отправляю письмо в гугл и через час пощу новость на хабр, slashdot, reddit ит.д., а чо, пускай поторопятся с патчем. Гугл будет выпускать патч, скажем, сутки-двое. За это время мошенники поимеют несколько десятков тысяч экземпляров Chrome/Chromium, не говоря уже о том, что не каждый экземпляр регулярно обновляется и эксплойт на такие экземпляры будет действовать пока пользователь не обновит браузер.
К слову сказать в некоторых дистрибах Linux патчи в краеугольные проекты (openssl например) умудряются принять за несколько часов. Уж не знаю как они это делают. Может манагеров меньше, а технарей больше.
Ну для своего андроида кстати оперативно выпускают. Но вот вопрос — а сколько там процентов нексусов от общего числа смартфонов на андроиде? А вот у них все зависит от вендоров, которые обновления выпускают когда левая пятка зачешется. И мне кажется если бы хотели — гугл могли бы как-то повлиять на все это, но им похоже это не интересно на данный момент.
Ну, там не одни производители завязаны. Скажем, телефон на старом чипсете, и новый Android на него не портировать — потому что драйвера в BSP доступны только в виде бинарников, а интерфейсы ядра изменились и нужен новый BSP. А производитель, какой-нибудь Qualcomm, не хочет ни портировать (потому что нерентабельно), ни давать исходники (потому что, говорит, коммерческая тайна). Я вот не знаю, есть ли у гугла соглашение с производителями чипсетов, и можно ли у них выжать по этому соглашению длительные сроки поддержки. Подозреваю что нет.
В 4.2, по сравнению с 4.1, например, перешли с ядра 3.0.x на 3.4.x. Да и бинарная совместимость драйверов в ядре не священная корова, иногда ломается без шума, пыли и фанфар при выпуске нового ядра — есть такое дело.
С виндой сравнивать некорректно. Во-первых, мы говорим не о чипсете с кучей периферии на борту, а о процессоре и наборе более или менее стандартных шин. Во-вторых, я сомневаюсь, что на протяжении десяти лет ядро XP претерпевало большие изменения (на самом деле я подозреваю, что, если большие изменения кто-то бы и захотел, то их бы в том числе сдерживала бы необходимость ломать совместимость), система практически не развивалась. В третьих, и это то, что касается поддержки на более новых процессорах, мы говорим об альянсе MS — Intel, где царит нежная любовь и Intel делает для платформы Windows всё что угодно.
Про грабли — извините, не понял. Интерфейсы в основном в ядре. Гугл, конечно, делает вклад в ядро, но, думаю, на архитектуру и ABI не настолько большое влияние оказывает. Относительно альтернативных — ответил ниже. Да, иногда не хочет производитель, а иногда у людей прокатывает отреверсить бинарник, что-то смастерить, или выкатить с неработающей частью периферии. У компании не прокатит.
С тестом совместимости и чипами — там другая история, мы ведь про обновления сейчас говорим.
Ну, никто и не говорит, что устройства не обновляются исключительно из-за несовместимости BSP и производителей чипсетов. Там целая куча факторов — и чипсеты, и технические (ушли люди, расширяться накладно) и маркетинговые (да, вот это то, о чём вы сетуете, жажда стяжательства и бизнес-соображения — устройства куплены и не производятся, обновления денег не принесёт) причины производителей, и долгие циклы подготовки обновлений, и проверка со стороны контролирующих органов (радиочастотная совместимость и прочее), и задержки операторов (в США операторские телефоны получают специальные прошивки от операторов, не от производителей, а там это популярный способ приобретать смартфон)… в общем, много всего.
Просто производитель чипсета — это один из возможных блокирующих факторов, в качестве примера. Поддержка железа на многое влияет. Личный пример — планшет имеет железо с поддержкой Bluetooth 4.0, но (по крайней мере на нашей территории) производитель не захотел обновлять драйвер, видимо, не стал связываться с Госсвязьнадзором и сертификацией. Cyanogen же поддерживает, но это значит, что с радиочастотной точки зрения устройство находится на нелегальном положении. Любители такое могут себе позволить, а компания — нет. Я думаю, таких случаев много.
Почему не получит? Мы сейчас смешиваем в кучу обновления безопасности и обновления до новых версий. Патчи, относящиеся к безопасности, бэкпортируются в код старых версий, и производители их обычно охотнее и быстрее выпускают, нежели полноценный переход на следующую версию. Там несколько другая процедура, там версия ядра не обновляется. Ну и да, под виндой производителей нет, обновления централизованные (мы о системе же говорим, уязвимости в third-party драйверах — это отдельная песня).
Ну, это вы только что сказали, что пользователи никогда не получат обновления от уязвимостей. При этом вы изначально почему-то привязывали патчи безопасности к версиям (цитирую, «… у них же до сих пор 4.1-4.4 занимают...»). То есть смешиваете, да. Поэтому я и сказал, что для закрытия уязвимости не обязательно обновлять версию, это делается иначе — гугл закрывает уязвимость, бэкпортирует её в старый код (если он тоже уязвим) который посылал производителям, посылает им этот код, производители делают патч на его основе и рассылают его устройствам. Непонятно, откуда взялось «никогда».
Ну и, мне кажется, всё наоборот — вы пытаетесь судить об обновлениях андроида по модели Windows. XP в пример приводили, хотя обновляется она не так, там всё иначе.
что пользователи никогда не получат обновления от уязвимостей.
На предыдущих своих устройствах(Sony Ericsson live with walkman и Sony Xperia SP) — регулярных патчей безопасности я не получал. Вот что попало на момент обновления прошивки до новой мажорной версии — то и получил. На текущем Asus ZenFone Max — изредка получаю, но их расписание судя по всему зависит от фаз луны и погоды на Марсе.
Ну так и уязвимости не по графику появляются и обнаруживаются, и не для всех устройств с одинаковой регулярностью (зависит от того, в каком компоненте уязвимость, есть ли вектор атаки). Для SP один патч был в сентябре 2013, через пять месяцев после релиза устройства.
Было обновление до 4.3 в 2014-м, в начале года. А вот новость текущего года:
Фирма компьютерной безопасности FireEye опубликовала сообщение об уязвимости в чипах Qualcomm, которая позволяет злоумышленникам похитить все пользовательские данных со смартфонов на базе Android. Наиболее серьезные последствия возможны для владельцев телефонов с Android 4.3 и более ранними версиями.
Уязвимость появилась после выпуска Qualcomm набора программных интерфейсов для сетевого менеджера – демон netd. FireEye отмечает, что уязвимость существует с 2011 года. Она дает возможность стороннему приложение получить доступ к персональным данным, в том числе SMS и списку телефонных звонков.
Google уже выпустила заплатку 1 мая и сообщила, что на аппаратах Nexus нет такой проблемы. Однако многие Android-устройства не получают обновления ежемесячно.
Да, по виду, прилично в лужу сели… В принципе, запатчить должно быть недолго, но если не торопятся — надо посмотреть, настолько ли всё критично, и можно ли реально организовать атаку. Я бы не удивился, узнав, что и их bouncer в магазине приложений, и сканнер, который в Play Services встроен, уже отлавливают приложения, которые лезут напрямую в потроха сервиса и обращаются к {add|remove}UpstreamV6Interface() — вряд ли законопослушным приложениям такие фокусы нужны. Смартфоны без Play Store — вот этим совсем печально, да.
Но это, конечно, уже про особенности экосистемы, а не про обновления. В целом речь про то, что «не обновится до 4.4» не означает автоматически, что надежду на заплатки можно оставить.
что надежду на заплатки можно оставить.
На самом деле можно оставить. Все версии ниже 5.0 — считаются устаревшими, следовательно — больше не поддерживаются. Заплаток для них не будет.(Хотя даже если были бы — не факт, что производитель их бы выпускал вслед за гуглом — потому что были и уязвимости в то время, когда 4.3 была еще актуальной, но сони — уже не выпускала новых патчей под нее). Обновиться до поддерживаемой версии — тоже невозможно. Единственный вариант — менять телефон.
Все версии ниже 5.0 — считаются устаревшими, следовательно — больше не поддерживаются.
А это официально? Просто на их странице написано, что официально патчи производителям предоставляются до 4.4 — «The Android security team currently provides patches for Android versions 4.4 (KitKat), 5.0 (Lollipop), 5.1 (Lollipop MR1), and 6.0 (Marshmallow).» Ну и, что будет делать производитель, а что нет — разговор отдельный. Речь изначально шла о том, что «не обновится до X.Y» и «не будут закрываться уязвимости» не эквивалентны, потому что заплатки бэкпортируются в старые версии.
Да, ошибся, оказывается на 4.4 патчи еще приходят, посмотрел в вики, там не совсем точная инфа была… Вот только что все-таки делать с Sony Xperia SP? Там уже никак не обновиться, а ведь телефон не такой старый еще, и думаю многие им до сих пор пользуются.
Да, с Xperia SP печально, официально 4.3 уже за гранью… ну, разве что надеяться на то, что, если найдут совсем уж злобную уязвимость, то в порядке исключения закроют и на ≤4.3 и отошлют патч Sony. Ну и сайдлоад теперь будет в группе риска. В оптимистичном случае, Bouncer и включённый сканер в Play Services будут много уязвимостей закрывать вне зависимости от прошивки.
Но ведь это я единственный пример привел, а их каждый год находят несколько штук. И не только для 4.3. Да и сканер — это не панацея, 100 процентов он выловить не сможет. А против целенаправленной атаки — невозможность получения фикса == открытые двери. И эта ситуация на мой взгляд еще более грустна потому, что Гугл в принципе обладает ресурсами, чтобы заняться ее исправлением, но ему это не интересно.
Ну так надо посмотреть, которые из них можно закрыть сканером, а какие нет. Мы же говорим об известных уязвимостях, и не для всех из них вектор атаки смотрит наружу, в сеть. Что такое целенаправленная атака? Как она достигнет устройства пользователя? Просто вокруг полно крикливых заголовков «уязвимы миллионы устройств», а на поверку оказывается, что или реальную атаку сложно организовать, или от неё легко защититься, причём прямо в магазине приложений. (Сколько шума в своё время наделал duplicate apk entries — да, сама по себе просто ужасная дыра, а на деле, достаточно в Play Store всем .apk проверить директорию файлов.) В общем, я думаю, грустить не стоит — слишком часто уязвимость оказывается из разряда «… а шваброй дверь подпёр? — нет — ну вот, заходи и бери что хочешь!».
Прочитайте, пожалуйста, вот эту статью:
https://medium.com/russian/почему-мой-телефон-не-обновится-до-нового-андроеда-e4cd5fa3fa85
Нижеследующее написано исходя из того, что вы её прочитали.
> Ее разрабатывали более умные и предусмотрительные программисты? Или чипы и устройства всегда разрабатывали более ответственные разработчики?
Дело в том, что разработка для десктопного железа и для embedded кардинально отличается. Наглядно описано по ссылке выше (в десктопном железе тоже адовые проблемы, но они менее адовые) а от себя добавлю, что когда Intel сделала свой первый действительно популярный мобильный SoC (Intel BayTrail) — с драйверами там вышло ровно то же самое, что написано по ссылке (Android только 4.4). Хотя, казалось бы, это обычный Intel Atom, какие там могут быть сюрпризы? Сюрпризы оказались в тоннах errata, видимо очень спешили выпустить чип на рынок. Под эти errata кое-как напихали хаков, в 2014 выкатили драйвера для Windows и исходники Linux с хаками, причём такими что о включении выложенного в mainline и речи быть не может. Windows-драйвера глючат просто невыносимо, некоторые энтузиасты из Intel пытаются причесать поддержку BayTrail в современных версиях Linux, но ими до сих не починены зависания при уходе в C-State глубже C1 и в частности на Dell Venue 8 Pro 5830 приходиться выбирать между рабочим звуком и рабочим ждущим режимом (но звук теперь хотя бы работает).
> А эти программисты гугла из прошивки в прошивку гуляют по одним и тем же граблям? Они мазохисты? Или им не хватает вменяемых архитекторов?
Собственно, к чему это я всё. Как видите, Android работает поверх гораздо более шаткого основания, чем Windows. Когда Windows работает поверх того же шаткого основания — насколько я могу судить по имеющемуся у меня планшету на базе Intel BayTrail, глючит она безбожно. Просто пара примеров: с зимнего обновления видеодрайвера по летнее (единственное из драйверов BayTrail, что регулярно обновляется) выход из ждущего режима срабатывал хорошо если хоты бы каждый второй-третий раз, а пробуждение по RTC-таймеру (будильник) работает с такой же частотой и сейчас (то есть это планшет на котором стабильно не работает даже будильник). Есть ещё пара десятков аналогичных глобальных глюков, но суть вы уловили. То есть если бы Android обновлялся работая со старыми драйверами, как Windows, я думаю из-за этих кривых драйверов проблем была бы куча, причём проблем совершенно недопустимых на consumer-девайсах. Так сейчас исходники с хаками собирают и оно хоть как-то работает с одной версией Android. Это, конечно же, плохо, и именно поэтому я не покупаю устройства на Android, но альтернатива оказывается ещё хуже — весьма вероятно, что в итоге я поставлю на свой планшет Android 4.4 вместо Windows 10, так от него будет хоть какая-то польза, устройством хотя бы станет можно пользоваться, понимаете?
> А почему периодически (для отдельных производителей зажигательных телефонов так вообще не редкость из-за их массовости) тогда альтернативные прошивки работают? У альтернативных людей есть альтернативные исходники?
У них есть время и желание портировать новые исходники с донора (железка с тем же SoC и схожей периферией) для которого Android обновили, или напихать хаков в исходники Linux от старой версии Android самим (если исходники вообще доступны, что случается далеко не всегда). Просьба к Falstaff меня поправить, если я что-то сказал не так.
> Ах да, берем и показательно исключаем косячных разработчиков чипов из совместимых с гугл+плеймаркет по прежним заслугам.
Тут видите какая штука, если так сделать, то в белом списке останутся только AMD и VIA, и то лишь потому, что на базе их SoC не производят устройств с Android.
В итоге, в целом, проблема — в драйверах. В ситуации с драйверами виноваты вендоры SoC (включая Intel) но Microsoft не принято пинать за кривые драйвера. Однако, почему-то если кривые драйвера делают для Linux, то виноваты оказываются разработчики Linux, и те кто собирают свою ОС на базе Linux — как вы сейчас пинаете Google. Конечно можно сказать, что Google могут попытаться изменить положение, но я всё же сделаю ставку на то, что тогда Samsung спрыгнет на Tizen, кто-то ещё на Sailfish, и так далее. Вот Google и не пытаются рисковать. Удивительно, что они вообще тему с набором тестов смогли протащить.
При желании кого угодно можно обвинить в чём угодно. Например, почему Microsoft не заставляют вендоров железа обновить драйвера для лучшей совместимости с Windows 10? Под ними же весь рынок. Вон у Intel нужно драйвер GMA 3600 из нового DDK от ImgTek пересобрать, чтобы композитор Win8/10 не падал, так даже этого не делают.
> Гугл — монополист. Этим все сказано. Он что угодно может. Плеймаркет хотите? Выполняйте.
Microsoft — монополист. Этим все сказано. Они что угодно могут. Размещение в Windows Store хотите? Пишите UWP-приложения. Ан нет, чот почему-то всё равно не пишут, а если пишут, то на выходе какое-то кривое говно получается, на которое потом забивают и лежит приложение с отзывами по которым видно, что оно уже как год не работает.
> Еще раз, открываете график долей андроида и долго на него медитируете, пока до вас не дойдет суть претензий о том, что гугл клал большой болт на безопасность своих пользователей, ведь процентов 90 устройств никогда не получит обновление безопасности от найденных 0-day.
НИ-КОГ-ДА.
И это очень плохо, полностью согласен, поэтому я и не покупаю устройства на Android.
> И уж тем более меня это гложет, если люди ставят туда кастомные 5.0 и те работают (не конкретно мой асус, внизу пример приводили)
Я и сам шил 6.0 на смартфон, который исходно был с 4.1. Возможно для него и 7.1 соберут. Что это доказывает?
> ВСЁ, этим всё сказано. У людей есть желание, у корпораций — хрен. Или вы будете утверждать, что в одном случае производитель дал дрова, а в другом — нет?
Зачастую люди над краденными и отреверсенными сорцами работают. Дальше-то что?
> И вылетят с рынка все, кроме, может быть, самсунгов.
С чего вы взяли? На Jolla например стоит эмулятор для запуска APK на SailfishOS и из коробки Яндекс.Store. На китайских Windows-планшетах тоже часто из коробки эмуляторы Android стоят.
Если индустрии придётся расставаться с Google из-за требований расходящихся с принятыми в индустрии практиками, это будет обидно, досадно, но какой-то альтернативный магазин станет самым популярным, и только (либо в России будет популярен магазин Яндекса, в Китае какой-то свой, и так далее). И не такие с пьедестала слетали.
Смотрите выше пример с Microsoft — ни повлиять на ситуацию с драйверами, ни заставить всех писать UWP-приложения у них де-факто не получается, не смотря на статус почти что монополиста.
Вы поймите, я в целом-то разделяю вашу печаль по поводу обновлений. И знаю, что с технической точки зрения принципиально задача решаема, но ваша ошибка в том, что вы переоцениваете рычаги давления Google на индустрию. Решение тут возможно на другом уровне. Например американские и европейские законы обязывают соблюдать GPL, поэтому если вендор выпускает смартфон на этих рынках — они добывают у ODM исходники и выкладывают их у себя. Тяжело, со крипом, но выкладывают. Если бы вендоров законодательно обязали поддерживать свои аппараты какой-то определённый срок и регламентировали процесс выпуска заплаток (например, месяц на тестирование и распространение обновления со дня доступности исходного кода исправления; следует учитывать шаткость основания, о которой я писал в предыдущем сообщении) они бы скрипя зубами эти требования выполнили.
… потому что драйвера в BSP доступны только в виде бинарников, а интерфейсы ядра изменились и нужен новый BSPТут вы правы. В китайском инете можно скачать исходники BSP для Qualcomm и MTK (китайские разрабы очень безолаберно относятся к безопасности).
А производитель, какой-нибудь Qualcomm, не хочет ни портировать (потому что нерентабельно)Не совсем правы. К примеру, Qualcomm до сих пор поддерживает старую платформу msm8x26. Месяц назад HTC даже выпустила новый телефон на чипе msm8926, релиз которого был аж в 2013 году. Причём там используются исходники BSP для 6-го дройда.
Просто эти самые исходники Qualcomm продаёт вендорам. Только крупные вендоры (HTC, Samsung, Sony, etc) могут позволить себе покупать новые сорцы ради обновления дройда на бюджетных устройствах.
… ни давать исходники (потому что, говорит, коммерческая тайна)Всё то, что мне удалось слить с китайского инета, ищите тут: http://syshwid.blogspot.ru/2016/08/build-qualcomm-modem.html
Спасибо за ссылку. :) Доброе дело делаете. Добавлю блог в закладки.
В целом да, конкретные условия, на которых Qualcomm предоставляет исходники, я не знал, но понятно, что крупные деньги и неразглашение (у самого был опыт только с Mediatek: мы обнюхивали их MT2502 на предмет применения в одном wearable, но столкнулись с той же проблемой — чтобы получить нормальную документацию и сорцы, нужно соглашение о партнёрстве, подписка и ощутимые суммы, иначе он остаётся ардуиноподобной платформой для прототипирования).
Из той истории, которая была на слуху (с Qualcomm и отсутствием поддержки аудио в новых сборках цианогена) я понял, что бинарника вообще не существовало, иначе бы вытащили у другого производителя. Вот ссылку уже не могу найти, давно дело было.
Во-первых, с точки зрения корпорации, "не работает 3G" — это эквивалентно "не работает устройство". Они-то обещали телефон с 3G пользователю, обязаны соответствовать. Во-вторых, у любителей тоже не всегда работает (был вроде на слуху случай со старым чипсетом от Qualcomm, там на модах не работал звук — Qualcomm не захотел предоставлять бинарный драйвер, совместимый с новым андроидом). В-третьих, что-то можно сделать реверс-инженерингом, но если пара товарищей в подвале пропатчат драйвер и им за это, наверное, ничего не будет, то производителя за такое производитель чипсета потащит в суд, потому что нарушение копирайта. Да и вопрос-то не к гуглу. Новые ядра Linux, новые интерфейсы.
Не знаком с PPP Widget, честно, но могу строить предположения. Может, патчил драйвер? Устанавливал другой, полученный после реверсинга? Тогда вопрос в легальной плоскости, quod non decet bovem...
То, что гугл забанил чьи-то чипы — это уже не про обновления, давайте уж только про то, что касается обновлений, а то запутаемся. Там-то не обновляться запретили, а вообще выпускать на них андроид-устройства (ну то есть называть то, что на них крутится, андроидом). Опять же, Qualcomm — контрактный производитель, он себе нишу найдёт, скандалить с ним себе дороже.
Про эту фирму (корейская такая, мы про неё говорим?) вообще разговор особый, там свои причуды, нам не понять. У них свои понятия о маркетинге, там да, они скорее всего просто не хотят поддерживать весь свой старый зоопарк (а гуглу ещё в те времена было не с руки на них давить, они им единолично рыночное превосходство обеспечивали). С тегрой — вот там как раз пример упрямства производителя, они, например, сделали первую тегру а потом забыли о ней как о страшном сне — и никаких обновлений. (Если что, да, я тоже столкнулся, у меня Nexus 7 первого поколения.) Причём конкретно гугл с ними совместимость не ломал, он взял новое ядро, а она там сломана. Что делать? Ну, Линус делает что может — даже в интервью прямо перед камерой послал NVidia на три буквы (четыре, если формально считать). И всё равно не помогло.
Вот с последним соглашусь даже без вопросов — да, всех всё устраивает. Если свалить в кучу пользовательскую удовлетворённость, усилия на исправление ситуации с обновлениями, интересы инвесторов, доходы и всё такое — получаем баланс. Жизнь такая. :)
Я тоже не знаю, первый раз от вас услышал, пошёл посмотреть, что за манифест такой. Так это вообще из другой оперы — это список, который говорит, что, если ему не соответствовать, то нельзя на этом железе выпустить Android-смартфон. Это совсем не то же самое, что отказать в сотрудничестве компании на основании неких прегрешений с обновлениями по недоказуемой причине. Если Гугл так будет отлучать компании от Андроида, то от него все побегут как от огня.
Вообще, у этих двух компаний долгая история взаимных пинков, причём все отражаются на пользователях. Паны дерутся — у хлопцев чубы трещат. Что подставили — вопрос, насколько именно; заранее-то предупредили, пусть и за короткий срок. Уязвимость уже эксплуатируется, это не zero-day. Ну и по поводу последнего — опять не понял, при чём двуличность и подлость. Это просто рынок такой. Если пользователи (ногами или кошельками) не делают так, что срок поддержки устройства влияет на годовые отчёты компаний, то удивляться нечему, потому что задача компании — максимизация прибыли. Иначе инвесторы не поймут и начнут менять генеральных директоров и прочее.
Ну да, именно про них я и говорю — про Asus, про Lenovo… Если сказать Lenovo, мол, нам не нравится, что вы не обновляете устройства достаточно долго, мы разрываем с вами отношения, то, во-первых, будет суд (надо доказать, что Lenovo не обновлял, да ещё по неуважительным причинам, а не форс-мажор вроде упрямого Qualcomm), а во-вторых, Asus на это посмотрит и скажет, мол, ну этот Гугл, не буду с ним работать, какой-то он непредсказуемый. И все остальные так же скажут. Если что, и Asus, и Lenovo — большие производители в других областях, и не самые большие в смартфонном бизнесе, для них потеря этой ниши не фатальна. Да и MS всё ещё планирует реванш, может помочь им переползти на WP.
Извините, если вы писали мне о том, что гугл должен порвать отношения с Qualcomm, то у меня просто не уложилось в голове, что вы можете такое предложить — ну разве что в шутку. :) Поэтому я продолжил считать, что вы всё-таки о производителях. У всех производителей чипсетов рыльце в пушку, придётся запрещать все. Это эквивалентно заявлению «вы можете делать смартфоны на Android, но нам не нравится ни один существующий производитель чипсетов, подождите, пока появится подходящий». Серьёзно?
И вы смешиваете в одну кучу редкие «при переходе с 4.0 на 6,0 в циане вафля не работает» и повсеместные «через 3 месяца после выхода модели мы прекращаем любые (даже в 3-й цифре) её обновления».
Да ладно гнусмасы и лыжи, тот же гугел так и не внёс изменения в часовые пояса для 2,3 пока она ещё поддерживалась. Видимо им ядро линукса и его интерфейсы мешают ещё сильнее, чем яйца плохим танцорам.
Да я и не сомневаюсь в мастерстве разработчиков. Другое дело, что реверс драйверов не всегда легален (точнее, обычно нелегален). Компания не может посадить хакеров, налить им кофе и сказать, мол, сделайте так, чтобы на новом железе работало.
Через три месяца — вот тут уже не знаю, какая статистика. Я как-то думал, что три месяца — это скорее исключение чем правило. Про баг — опять же, не слышал, контекста и его важности не знаю, поэтому ни ругать ни отстаивать не буду.
«Баг» о котором я упомянул банальная отмена перехода на летнее время и закрепление +4 часов по Москве. Не осилили.
А вот посвежее пример: http://www.computerworld.com/article/2867043/google-stops-patching-core-android-component-in-60-of-devices.html «ну если вы пришлёте патч, то может мы и примем его, так нам посрать на дыру в 60% мобил с нашей ОС»
А, с отказом от обновлений в WebView, это я помню. Да, по всем меркам некрасивый ход был, тем более что в metasploit вроде бы уже были эксплоиты для непропатченных версий. Это у них грубо получилось. В принципе я могу понять, почему у них с этим были сложности (в бурлящем вебките что-то бэкпортировать на два года назад, думаю, адова работа), но да, это был натуральный jerk move. Правда, там хотя бы можно скачать и использовать сторонний браузер по умолчанию, тогда вектором только необновлённые приложения с vebview будут.
Расскажите про невозможность обновления моему HTC Desire Z, который родился с Android 2.1 и на котором сейчас стоит Android 5.0.
«Вот в винде есть такая уязвимость. Мы её очень быстро поправили. Мы такие молодцы, пользуйтесь гуглехромом!»
Если вы уже поправили, и ваши пользователи в безопасности, зачем разглашать-то?
Странно, что непонятна простая вещь, чем больше корпорации
Google опять раскрыла непропатченную уязвимость в Windows