Le Point sur les Patchs de Sécurité Android et Google Play Protect #MiTech - Chat/Off-topic - Xiaomi Community

Hello les Mi Fans,

Je vois pas mal de posts passés sur les ''patchs de sécurité Android'', les ''patchs de sécurité pour les apps'' et autres.

Et malheureusement beaucoup de confusion.

Commençons par le plus commun : ''Patch de sécurité'' Google Protect :

Bon, idée reçue : il n'y a pas de patch de sécurité pour Google Protect en local sur le téléphone et cela ne dépend pas des constructeurs.

Déjà c'est ''Google Play Protect''. Géré en natif par les serveurs Google pour scanner les apps du Play Store (cf https://www.android.com/security-center/)

Totalement transparent pour vous, que vous ayez un tél de 4 ans ou de 1 mois, c'est la même, et ce, quelque soit le patch de sécurité Android sur votre smartphone.

La magie du Cloud/computing dans l'idée.

Screenshot_2019-12-02-14-06-13-646_com.android.vending.jpg

Le Patch de sécurité du système Android ou appelé ''Correctif de Sécurité Android'' :

Désolé de vous décevoir mais il n'y a aucune, strictement aucune, 0, nada, niet, obligation de mettre à jour un smartphone Android tous les mois sur ce sujet.

Je vais même aller plus loin, dans les clauses de distribution Android aux constructeurs, soit le ''Android OEM Agreements contract'', à date de Mi 2018 après le Google I/O 18, la seule obligation des constructeurs sur le sujet sont :

2 Ans de support (ok on y est largement, Xiaomi étant exemplaire sur le sujet)
Au moins 4 mises à jour la 1ère année concernant le correctif de Sécurité Android
0 Obligation pour la 2ème année.
Obligation que les nouveaux terminaux sortant sur Q1 2020 intègrent Android 10 (date limite fin 31 Mars 2020 pour les terminaux en développement sur 2019).

Et oui, avant c'était pire, c'était 0 pour la 1ère année. De plus ces accords ne rentrent en vigueur que pour les téléphones sortant en 2019 sous Pie.

Aucune nouvelle obligation pour les produits étant sorti en natif sous Oréo ou antérieur.

De ce fait tous les constructeurs Android n'ont pas l'obligation de pousser des MAJ de sécurité tous les mois.

D'ailleurs pour informations, les sources des patchs de sécurité de Google sont datées entre le 1 et le 10 du mois en général (souvent le 1 ou le 5 de chaque mois). Elle sont distribuées sous 7 jours après avoir été déployée sous la gamme Pixel. Il faut compter à minima 7 jours pour les intégrer et soumettre la nouvelle monture du firmware à Google pour validation. Si des bugs sont déceler on est reparti pour un tour. C'est pour cela que selon les constructeurs, lors de MAJ concernant les correctifs de sécurité, celles-ci sont poussées entre le 20 et le 10 du mois suivant.

Ces informations ont été confirmées par David Kleidermacher, Chef de la Sécurité Android chez Google lors de son interview avec The Verge au Google I/O 2018.

Ha oui, donc en fait c'est un bordel sans nom ?

Tout à fait, cela prend du temps, consomme de l'énergie, coûte de l'argent. C'est d'ailleurs aussi pour ça que certains constructeurs prennent leur temps sur le sujet.

C'est aussi pour cette raison que dans l'idée du Google Play Protect, Google avait lancé le projet Treble (qui date depuis Oréo, une arlésienne cette fonctionnalité), une couche du système lui étant dédié (aux Dev Google) pour gérer la sécurité et pousser les mises à jour relatives à celle-ci.

Au début, et même maintenant, ce projet a fait un four, il faut être réaliste.

Cependant Google l'a relancé avec Android 10 en le couplant avec la techno : ''Dynamic System Updates''. La première apparition de ce système a eu lieu lors de l'Android Dev Summit de 2018

Une partie du système est laissé en gestion par les constructeurs à Google lui permettant de pousser ce que l'on appelle un GSI soit un ''Generic System Image'' ou une image système générique intégrant donc des corrections de bugs pour le système Android en bas niveau et les correctifs de sécurité idoines.

Soit dit en passant il faut aussi que les développeurs d'apps et de Firmwares mettent la main à la pâte mais au vu du nombre d'applications sur le store toujours non compatible Android 10... et pour les devs de firmware, intégrer une telle modularité à l'extrême n'est pas chose aisée.

Le but ultime de Google, en finir avec la fragmentation, le déploiement peu rapide des nouveaux systèmes Android et pouvoir déployer des technologies ou fonctionnalités en toute transparence pour l'utilisateur (API Vulkan, Optimisation Batterie, Full Dark Mode, Appels d'urgence, etc etc).

D'ailleurs pour ceux ayant le Mi 9 ou un Xiaomi sous Android 10, faites un tour dans ''Paramètres'' et ''État de Sécurité'' pour vous rendre compte que certaines fois une ligne apparaît et disparaît selon si Google Play Protect est à jour ou non (les prémices de l'intégration complète de ces fonctionnalités ?)

Screenshot_2019-12-02-14-02-53-237_com.android.settings.jpg

Cette fonctionnalité est disponible depuis Octobre sur la nouvelle gamme des Pixels du constructeur. Cela fait suite au projet Mainline présenté lors du Google I/O 2019. Cela permet à Google de ''s'affranchir'' des contraintes de MAJ Firmware proposées par les constructeurs et validées par Google.
Android Q permet de laisser un espace dédié dans le système pour que Google puisse pousser des correctifs des patchs de sécurité, MAJ fichiers système, sécurité des Services Google Play (entre autre) tout en court-circuitant le cycle/Planning des MAJ des constructeurs, Google poussant directement les correctifs via ses propres serveurs.
C'est comme une MAJ Windows dans l'idée. Si vous réinstallez le système, vous reviendrez au patch de sécurité ''en dur'' dans le firmware réinstallé et vous serez à nouveau obligé de refaire une recherche de MAJ via l'espace dédié comme indiqué sur la capture d'écran.Autre nécessité pour la mise en place de celui-ci, les apps système de ne doivent plus dans ce cas être dépendante d'une partition système, constructeur ou autre mais disponible sur le Play Store (et donc du Framework Google et non tiers) afin d'être Mise à jour continuellement (mais permettant aussi d'appliquer le zone géographique selon les législations de votre pays, disponiblité de l'app ou de ses fonctions intraséques). Out les apps MIUI si non dispo sur le Play store dans ce cas (ce qui est dans l'idée impossible)

En conclusion :

Pour ceux postant assez vivement sur le sujet (heureusement, pas beaucoup :P), arguant que Xiaomi doit faire ceci, doit faire cela, que l'herbe est plus verte ailleurs, que Google n'y est pour rien etc etc, tempérer vos ardeurs.
Pour ceux se posant les questions sur ce sujet, j'espère que cela vous permet d'y voir plus clair.
Pour la majorité qui n'y font même pas attention, ceci était un message à caractère informatif :)

Xiaomi est de loin un bon élève avec ses 4 MAJ annuelles minimum et le support de nombreux modèles au-delà des 2 ans (3 ans et plus), alors que c'est un des rares constructeurs à avoir un catalogue aussi large de références. De ce fait, il remplit toutes les obligations qu'il a envers Google et la communauté Android.

Certes, il reste beaucoup de choses à améliorer, mais Rome ne s'est pas construite en 1 jour et Google doit plus accompagner ses partenaires sur le sujet.

En tout cas on est mieux lotis que certains constructeurs dont les hauts de gamme sont entre 2 ou 3 fois le prix de leur équivalents ici.