Ex-CopperheadOS dev spytter ild, som CEO siger, at projektet ikke er død

Tilhængere af k2rx.com kan huske, at vi i går offentliggjorde en artikel om 'død' af CopperheadOS og mulige alternativer.

Udtrykket 'død' holdes med vilje under citater, da CopperheadOS faktisk ikke er død. Virksomheden, Copperhead Limited, sælger stadig det privatlivsfokuserede operativsystem, der følger med anden generation af Google Pixel-telefoner.

James Donaldson, administrerende direktør for Copperhead Limited, sendte en hurtig (og overraskende) tweet, efter at den originale historie blev offentliggjort.

disse oplysninger er utvivlsomt falske. CopperheadOS er stadig rundt og kan købes. De andre projekter i denne artikel er ikke hærdede alternativer, men blot AOSP med nogle klokker og fløjter.

- J. (@_copperj) 5. februar 2019

Forfatteren (@AndItsTito) ønskede at inkludere Daniel Micay (hovedudvikleren af ​​CopperheadOS, der blev fyret af Donaldson) i samtalen, mens han forklarede grundene til at kalde gaffelen 'død'.

Jeg vil gerne invitere @DanielMicay til denne samtale.

- Kingshuk 'Tito' De (@AndItsTito) 5. februar 2019

Sidst jeg tjekkede, er @CopperheadOS stadig baseret på Oreo og hænger bag flere sikkerhedsrettelser. ?

- Kingshuk 'Tito' De (@AndItsTito) 5. februar 2019

Donaldson forsøgte at forsvare virksomheden ved at sammenligne det med andre Android-OEM'er og deres opdateringsstrategi.

Jeg vil ikke bestride, at vi 'hænger' bag patches (dog stadig foran de fleste større Android-OEM'er), men at CopperheadOS er død eller døende er simpelthen falsk information.

- J. (@_copperj) 5. februar 2019

En fortrolighed + sikkerhedsfokuseret distribution, der er forældet (+ sårbar) ser stort set 'død' ud for mig. Ja, jeg mener, at der var en tvist, men det skulle ikke betragtes som en undskyldning for situationen.

- Kingshuk 'Tito' De (@AndItsTito) 5. februar 2019

Daniel sprang ind og forklarede, hvorfor den nuværende CopperheadOS-serie påvirkes af ikke at opgradere til Android 9 Pie og relaterede SoC / platformsspecifikke patches.

Ja, det er nøjagtigt. Det er ikke kun bag flere sikkerhedspatcher, men mangler sikkerhedsopdateringer til hardware og enheder helt tilbage til august 2018. Disse opdateringer er tilgængelige via Android Pie, og det var obligatorisk at migrere sidste år for at fortsætte med at levere dem.

- DanielMicay (@DanielMicay) 5. februar 2019

Pixel, Pixel XL, Pixel 2 og Pixel 2 XL holdt op med at modtage sikkerhedsopdateringer via AOSP 8-filialen i august sidste år. De modtog aldrig en sikkerhedsopdatering fra august 2018 via Android 8, som du kan se fra https://t.co/vcjf9aZv9K og AOSP-arkiverne for dem, der sluttede dengang.

- DanielMicay (@DanielMicay) 5. februar 2019

Hvis du ser på en sikkerhedsbulletin som den i februar 2019, kan du se, at den er opdelt i to: https: //t.co/Ur3Lmj1KTH

2019-02-01-delen gøres tilgængelig via AOSP inklusive 8.1.0-filialen, som Copperhead fortsatte med at fusionere måneder sent.

2019-02-05-delen er ikke.

- DanielMicay (@DanielMicay) 5. februar 2019

-05-opdateringerne er bundet til SoC-platformen, kernen og anden enhedsspecifik kode, der ikke opdateres via baseline AOSP-udgivelserne. Copperhead har ikke disse opdateringer siden august 2018. De har IKKE engang sikkerhedsopdateringen fra august 2018 og er uærlige omkring patchniveauet.

- DanielMicay (@DanielMicay) 5. februar 2019

De tyede til at gøre det samme som andre ROM'er har gjort i årevis: at lyve over for deres brugere (i dette tilfælde kunder) om det patchniveau, de leverer for at få det til at virke sikkert. De er opmærksomme på, at de mangler fulde sikkerhedsopdateringer siden august og bare er utroligt uærlige.

- DanielMicay (@DanielMicay) 5. februar 2019

De anvendte kun en lille delmængde af disse ekstra patches og foregiver at de gjorde alt arbejdet. Det er ikke muligt at levere fulde sikkerhedsopdateringer til disse enheder via Android 8. Jeg ville have migreret til Pie inden for 2 uger i august, hvis virksomheden ikke var blevet skurk.

- DanielMicay (@DanielMicay) 5. februar 2019

Daniel fremsatte endda en alvorlig beskyldning mod sit tidligere firma. Copperhead Limited solgte angiveligt Nexus 9-tabletter til Læger uden grænser (MSF), selvom enhederne allerede nåede EOL-status dengang.

Privat, inden ting offentligt faldt sammen, var virksomheden allerede engageret i salgskontrakter, som det ikke ville være villigt til korrekt at opfylde med kvalitetsprodukter. Copperhead solgte Nexus 9-tabletter til @MSF på trods af at de var udtjente. Der er meget, som jeg betragtede som uetisk.

- DanielMicay (@DanielMicay) 5. februar 2019

I henhold til James Donaldson er han og Daniel Micay i øjeblikket involveret i en juridisk kamp på grund af skaderne på virksomheden og deres kunder ved Micays handlinger. Som en konsekvens blokerede den tidligere Daniel på Twitter og kunne derfor ikke se og / eller svare på hans meddelelser i går.

selvfølgelig - vi var nødt til at genudvikle alt fra bunden, efter at DM havde slettet vores signaturnøgler (for ikke at nævne det arbejde, det krævede for at nå ud til vores kunder og håndtere deres frustrationer)

- J. (@_copperj) 5. februar 2019

Jeg fjerner ikke blokeringen af ​​DM og vil heller ikke se hans svar. Vi er involveret i en juridisk tvist om de skader, han forårsagede Copperhead og dets kunder.

- J. (@_copperj) 5. februar 2019

AOSP-upstreaming i din artikel nævner Daniel, men nævner ikke, at disse patches (betegnet med tidsstempel) blev understøttet af Copperhead og kom fra hans arbejde med CopperheadOS.

- J. (@_copperj) 5. februar 2019

overvejer du ikke at have mere end $ 200.000 i skader, der skulle dækkes af min lomme, for at være en undskyldning for at være lidt langsommere med at lappe (stadig hurtigere end Samsung, Blackberry osv.)?

- J. (@_copperj) 5. februar 2019

I mellemtiden udtrykte Daniel, at RattlesnakeOS eller #! Os ikke skulle kaldes ægte gafler, da "De udfører nyttigt arbejde, men det er ikke det samme."

De er ikke det samme. RattlesnakeOS inkluderer eksplicit ikke hærdning. Det er et sæt scripts til at lave signerede builds af AOSP på AWS. #! Os-projektet er også fokuseret på at lave scripting til bygning, der har til formål at gøre det lettere at lave reproducerbare builds osv.

- DanielMicay (@DanielMicay) 5. februar 2019

Ja! Hvis du gennemgår artiklen, er disse punkter tydeligt nævnt. ?

- Kingshuk 'Tito' De (@AndItsTito) 5. februar 2019

Ja, Rattlesnake- og hashbang-projekterne skal bare ikke kaldes gafler, når de ikke forkaster eller fortsætter det tidligere arbejde, men snarere udvikler scripting omkring AOSP-builds. De udfører nyttigt arbejde, men det er ikke det samme.

- DanielMicay (@DanielMicay) 5. februar 2019

Han talte også om sit hærdede Android Open Source-projekt:

Det mangler ressourcerne til at levere produktionskvalitetsudgivelser og til hurtigt at gendanne alt tidligere privatlivs- og sikkerhedsarbejde til Android P. Men det skrider frem, og det tager tid at skrive en helt ny hærdet tildeler, at en del af det allerede gør det væsentligt bedre.

- DanielMicay (@DanielMicay) 5. februar 2019

Det understøtter nu også Pixel 3 og Pixel 3 XL, som aldrig blev understøttet, da det blev mærket som CopperheadOS og ikke understøttes af den dårligt vedligeholdte og utroligt usikre gaffel fra det gamle arbejde af Copperhead, der har erstattet det gamle CopperheadOS.

- DanielMicay (@DanielMicay) 5. februar 2019

Daniel var venlig nok til at påpege en teknisk fejl i vores artikel. Vi antog forkert, at den nuværende hærdede_malloc stadig var baseret på OpenBSD's implementering.

Hardened_malloc-projektet er ikke en fork eller havn i OpenBSD malloc. Det er en ny tildeler skrevet fra bunden for at give bedre ydeevne og væsentligt bedre sikkerhed end tidligere arbejde med at fremstille en udvidet gaffel af OpenBSD malloc med yderligere sikkerhedsfunktioner.

- DanielMicay (@DanielMicay) 5. februar 2019

Det er stærkt inspireret af OpenBSD malloc sammen med låneideer fra andre allokatorer som jemalloc og PartitionAlloc. Det er en meget anden tildeler end OpenBSD malloc. Det har meget forskellige designvalg og tilgange til kernedesignet og er i sagens natur kun 64-bit.

- DanielMicay (@DanielMicay) 5. februar 2019

James foreslog, at vi skulle have kontaktet dem, før vi kom med artiklen. Som et resultat har vi i dag nået ud til både James og Daniel hver for at indsamle yderligere info.

For flashaholic-læsere skubbede Daniel igennem februar sikkerhedsopdatering.

PQ2A.190205.002.2019.02.05.02 udgivelse med sikkerhedsopdateringen i februar, og Chromium 72.0.3626.76 bliver skubbet ud via https://t.co/5oNUPIUT2n. Der er også forbedringer af den næste generation af hærdet malloc og en lille mængde fremskridt, der gendanner tidligere sikkerhedsfunktioner.

- DanielMicay (@DanielMicay) 5. februar 2019

TL; DR: Spænd sikkerhedsselen! Det er virkelig ikke 'dødt'. Følg Twitter-samtalen for at få de seneste opdateringer, da diskussionen stadig er i gang.

Facebook Twitter Google Plus Pinterest