Обновление по воздуху

Термин «OTA-обновление» относится исключительно к встроенным системам^[4], но не применяется к обычным компьютерам. До появления OTA-обновлений устройства было возможно обновить только при физическом доступе (например, через JTAG) или проводным способом (обычно через USB или последовательный порт).

Обновления по воздуху дают возможность массового распространения новых версий программного обеспечения^[7], снижают затраты на их доставку и ускоряют внедрение пользователями.

Поставщик обновлений может разрешать или не разрешать пользователям отказываться от обновлений, а также блокировать определённые функции устройства до их установки^[8]. После установки откат обновления зачастую невозможен.

Вместе с тем после 2019 года наметилась тенденция к значительному продлению сроков программной поддержки устройств. Крупные производители, такие как Google, Samsung и Apple, анонсировали расширенные обязательства по выпуску обновлений, особенно для флагманских моделей. Например, Google и Samsung стали предлагать до семи лет обновлений операционной системы и патчей безопасности^[9], а Apple в 2024 году официально обозначила минимальный срок поддержки iPhone в пять лет^[10]. Прекращение поддержки (статус EOL — англ. End of Life) не означает принудительной блокировки устройства производителем, однако со временем приводит к его функциональному устареванию. Устройство перестаёт получать обновления безопасности, что делает его уязвимым для кибератак^[11]. Кроме того, разработчики приложений прекращают поддержку устаревших версий ОС, из-за чего пользователи не могут устанавливать или обновлять программы, а некоторые онлайн-сервисы, требующие актуального ПО (например, App Store или Siri), могут перестать работать^[10].

Для уменьшения трафика, энергопотребления и требований к памяти OTA-обновления обычно пересылаются не целиком, а как дельта между установленной и новой версией ПО. Для этого используется делта-кодирование и дифференциация данных, а конечному устройству отправляется delta‑файл, необходимый для обновления^[12]. Существует два основных подхода к дельта-обновлениям: статический, при котором разница предварительно вычисляется на сервере для конкретных пар версий, и динамический, когда устройство самостоятельно вычисляет разницу между своей версией и полученным новым образом^[13]. Для создания бинарных патчей продолжают применяться такие алгоритмы, как Xdelta и bsdiff^[13][14].

Современные подходы к обновлениям включают более сложные и безопасные механизмы:

• Dynamic Software Updates (DSU) — технология, позволяющая обновлять программное обеспечение системы без её остановки и перезагрузки. Это критически важно для устройств с высокими требованиями к доступности, таких как автомобильная электроника и дроны^[15].
• Обновления на основе дерева Меркла (англ. Merkle Tree-based Updates) — подход, предложенный для автомобильной промышленности, который использует деревья Меркла для обеспечения целостности и безопасности обновлений отдельных программных компонентов, разработанных разными поставщиками^[16].
• IETF SUIT (англ. Software Updates for IoT) — стандарт, разрабатываемый IETF, который определяет архитектуру и формат метаданных (манифест) для безопасного обновления прошивок на устройствах с ограниченными ресурсами. Манифест содержит информацию о прошивке, её криптографическую подпись и инструкции по установке^[17].

На смартфонах, планшетах и схожих устройствах OTA-обновление — это загрузка через интернет новой версии прошивки или операционной системы. Ранее подобные обновления выполнялись только через USB-соединение с компьютером. OTA-обновления могут добавлять новые функции, устранять уязвимости или исправлять ошибки в программном обеспечении.

Для iOS встроенная поддержка OTA-обновлений появилась с версии iOS 5^[18]. Все обновления iOS распространяются исключительно компанией Apple, благодаря чему они быстро доходят до большинства устройств. Так, к июню 2024 года iOS 17 была установлена на 86 % iPhone, выпущенных за последние четыре года. Новая iOS 18, вышедшая в сентябре 2024 года, к июню 2025 года достигла показателя в 88 % для той же группы устройств^[19].

В Android обновления OTA выпускаются отдельно производителями (например, Samsung) и операторами связи^[20], а не самой Google. Это привело к проблеме фрагментации: многие устройства получают обновления с задержками либо вовсе их не получают^[21][22]. Результатом стала усложнённая разработка приложений и повышенные риски безопасности^[23][24].

Для решения этой проблемы Google запустила несколько инициатив:

• Project Treble (2017) — позволил производителям обновлять ОС без обязательной проверки драйверов для всех новых версий^[20][25].
• Project Mainline (2019) — позволил Google самостоятельно обновлять ключевые компоненты ОС и распространять исправления безопасности^[25][26] через Google Play Store, без необходимости обновления всей ОС^[25].

Проект Project Mainline получил значительное развитие после 2021 года. Ключевым нововведением в Android 12 стало превращение среды выполнения ART в обновляемый модуль, что позволило Google доставлять улучшения производительности и безопасности напрямую пользователям. По заявлениям компании, это привело к ускорению запуска приложений до 30 % на некоторых устройствах^[27]. Количество модулей постоянно росло: если в Android 10 их было около 13, то к выходу Android 14 в 2023 году их число достигло 37^[27], включив в себя такие компоненты, как Health Connect и инфраструктуру для удалённой конфигурации функций (DeviceConfig)^[28]. Благодаря этому Google также смогла переносить новые функции, например, Photo Picker из Android 13, на более старые версии ОС^[29].

Благодаря Project Mainline роль производителей и операторов при OTA-обновлениях существенно сократилась^[26][30].

С версии 8.0 реализована схема A/B-разделов: обновление устанавливается на второй (резервный) раздел в фоновом режиме, и переключение на него происходит после перезагрузки, что ускоряет процесс и делает его безопаснее^[31].

В современных автомобилях OTA-обновления могут применяться к мультимедийным системам, навигации, телематическому блоку управления или электронным блокам управления^[32]. Обычно именно телематический блок осуществляет загрузку и установку обновлений через мобильные сети. При установке обновления автомобиль использовать нельзя. Процедура включает проверку подлинности пакета до его установки и контроль целостности после^[32].

OTA-обновления позволяют производителям быстро устранять ошибки без необходимости отзыва автомобилей в сервисный центр, что сокращает расходы и время простоя. Актуальные примеры включают срочное исправление ошибок в системах контроля выбросов, тормозов или подушек безопасности без визита к дилеру. Также OTA-обновления дают возможность быстрее внедрять новые функции и поддерживать конкурентоспособность моделей, к примеру — улучшать работу систем помощи водителю^[32].

К 2023 году технология OTA-обновлений стала ключевым направлением развития отрасли. Объём мирового рынка в 2023 году оценивался в 3,8 млрд долларов США с прогнозом ежегодного роста более чем на 17 %^[33]. Движущей силой этого процесса стала концепция программно-определяемого автомобиля (англ. Software-Defined Vehicle, SDV), где большинство функций контролируется программным обеспечением^[34]. Это позволило перейти от обновлений только мультимедийных систем (SOTA) к обновлению прошивок (FOTA) критически важных узлов: ЭБУ, систем помощи водителю, силовых установок и систем управления батареями^[35].

Возможность обновлять автомобиль «по воздуху» позволила производителям внедрять новые бизнес-модели, такие как продажа функций по подписке уже после покупки автомобиля^[36]. Однако эта практика вызвала и критику: некоторые компании, например Citroën и Volvo, выпускали на рынок автомобили с неполным или некорректно работающим программным обеспечением, обещая исправить проблемы будущими обновлениями^[37].

Однако подобные технологии увеличивают риск киберугроз. Рост числа подключённых автомобилей (более 400 млн к 2025 году) и расширение функциональности OTA привели к ужесточению государственного регулирования^[38]. С июля 2024 года для всех новых автомобилей, продаваемых в странах-участницах соглашения ЕЭК ООН (включая ЕС, Великобританию и Японию), стало обязательным соответствие стандартам WP.29^[34]:

• UN R155 (Cyber Security) — требует внедрения сертифицированной системы управления кибербезопасностью (CSMS) на протяжении всего жизненного цикла автомобиля^[39].
• UN R156 (Software Updates) — обязывает производителей иметь систему управления обновлениями ПО (SUMS), гарантирующую их безопасность и целостность^[40].

Кроме того, с марта 2025 года в Китае было введено требование о предварительном одобрении государственными органами любых OTA-обновлений, связанных с функциями автономного вождения^[41]. Для борьбы с угрозами автопроизводители организуют программы раскрытия уязвимостей^[32][42]. Возможные угрозы включают подмену данных, модификацию файлов, отказы в обслуживании, утечки информации, эскалацию привилегий, повреждение системы в случае прерывания установки или загрузку вредоносных обновлений.

С появлением беспроводных сенсорных сетей и интернета вещей (IoT) как крупных распределённых сетей OTA-обновление получило особое значение. После 2012 года развитие в этой сфере сместилось от проприетарных решений к стандартизированным, безопасным и эффективным протоколам, что стало критически важным для обслуживания миллиардов подключенных устройств^[43].

Ключевым этапом стал переход от сложного и ресурсоёмкого протокола OMA DM, изначально созданного для мобильных телефонов, к новому стандарту Lightweight M2M (LwM2M), разработанному OMA специально для устройств с ограниченными ресурсами^[44][45]. LwM2M основан на протоколе CoAP (Constrained Application Protocol), работающем поверх UDP, что обеспечивает его энергоэффективность^[44]. Стандарт определяет полную архитектуру для управления устройствами, включая стандартизированные объекты для обновления прошивки (FOTA) и программного обеспечения (SOTA)^[44]. Его развитие включало добавление поддержки сетей LPWAN (например, NB-IoT и LoRaWAN), а также MQTT и HTTP в качестве транспортных протоколов^[46].

К 2024 году наметились две ключевые тенденции в стандартизации:

• Matter — стандарт для умного дома от альянса CSA, который сделал поддержку безопасных OTA-обновлений обязательным требованием для сертификации устройств. Архитектура Matter предполагает наличие поставщика обновлений (OTA Provider), например, хаба, и запросчика (OTA Requestor) — конечного устройства^[47]. Процесс строго регламентирован: прошивка должна быть криптографически подписана, а откат на предыдущую версию после успешной установки запрещён для предотвращения атак с использованием старых уязвимостей^[47].
• IETF SUIT (Software Updates for IoT) — стандарт, разрабатываемый IETF для создания унифицированной и безопасной архитектуры обновлений для устройств с крайне ограниченными ресурсами (памятью в несколько десятков килобайт). Стандарт определяет формат метаданных (манифеста) и криптографические механизмы для защиты процесса обновления^[48][49].

Безопасность стала главным приоритетом, поскольку рост числа подключённых устройств увеличил поверхность для атак^[50]. Современные OTA-процессы включают многоуровневую защиту: шифрование канала передачи (например, с помощью TLS), криптографическую подпись прошивки для проверки её подлинности, а также использование безопасной загрузки^[51]. В промышленном интернете вещей (IIoT) набирает популярность модель нулевого доверия (ZTNA), предоставляющая удалённый доступ для обновлений на основе принципа минимальных привилегий^[52].

Для экономии трафика, энергии и времени, особенно в сетях LPWAN, широкое распространение получила технология дифференциальных (также дельта- или инкрементальных) обновлений. Этот метод позволяет загружать не полный образ прошивки, а только небольшой файл с изменениями между старой и новой версиями^[44][53]. Дополнительную оптимизацию обеспечивает применение граничных вычислений (Edge Computing), которые позволяют кэшировать обновления ближе к конечным устройствам, снижая нагрузку на облачную инфраструктуру и задержки^[54]. Надёжность процесса обеспечивается механизмами отката к предыдущей стабильной версии в случае неудачной установки, что предотвращает «окирпичивание» устройства, и использованием двойных разделов памяти (A/B partitions)^[51][55].

Подходы к обновлению интернет-маршрутизаторов различаются в зависимости от их типа. Для большинства потребительских устройств, таких как DSL-модемы или отдельные Wi-Fi-маршрутизаторы, обновление прошивки, как правило, выполняется пользователем вручную. Владелец устройства скачивает файл обновления с сайта производителя и загружает его через веб-интерфейс маршрутизатора.

Однако для кабельных модемов, работающих по стандарту DOCSIS, применяется централизованная модель, управляемая интернет-провайдером^[56]. Процесс обновления полностью автоматизирован и контролируется провайдером: производитель модема предоставляет новую прошивку, а провайдер после тестирования на совместимость со своим оборудованием (CMTS) распространяет её на модемы клиентов^[56][57]. Для удалённого управления и обновления также широко используется протокол TR-069^[58]. Самостоятельное обновление пользователем невозможно, так как это продиктовано требованиями стандарта DOCSIS для обеспечения стабильности и безопасности сети, а в веб-интерфейсе модемов соответствующая функция, как правило, отсутствует^[59][60].

Для беспроводных сетей доступна технология удалённой настройки устройств (англ. Over-the-Air Provisioning, OTAP), обеспечивающая автоматическую идентификацию и настройку точек доступа и их контроллеров с помощью Управляющих пакетов радиоресурсов (англ. Radio Resource Management Packets, RRM). По соображениям безопасности OTAP по умолчанию отключён, так как информация передаётся незашифрованно и может быть перехвачена злоумышленниками.

Технология OTAP используется в сотовых сетях для удалённой настройки телефонов и SIM-карт оператором связи. Эта процедура может проходить в любой момент, когда телефон включён; синоним — OTAPA (Over-the-Air Parameter Administration). Подобная настройка гарантирует правильную работу телефона при изменении сетевых параметров или внедрении новых функций (WAP, MMS, интернет), требующих обновления профиля APN.

Похожий термин Over-the-Air Service Provisioning (OTASP) относится к изначальному программированию телефона: при первой активации он получает номер, MIN и System ID, чтобы подключиться к сети. Процесс также известен как OTA‑активация или OTA‑начальная настройка (bootstrapping). Альтернативный способ — SIM-bootstrapping (чтение настроек напрямую с SIM-карты), однако используемые там параметры могут устареть, а у некоторых профессиональных устройств SIM-карт вообще нет^[61][62].

Стандартизацией OTA-настроек занимаются отраслевые объединения. Так, в 2001 году WAP Forum предложил стандарт WAP Client Provisioning, впоследствии перешедший к Open Mobile Alliance (OMA) под названием OMA Client Provisioning (OMA CP). В нём параметры передаются в «невидимых» SMS. Последующий стандарт OMA Device Management (OMA DM) использует иной маршрут: специальное push-сообщение активирует DM‑клиент телефона, который подключается к управляющему серверу для получения настроек^[62].

После 2014 года технология претерпела кардинальную трансформацию с появлением встроенных SIM-карт (eSIM) и разработкой Ассоциацией GSMA новой архитектуры для удалённой загрузки профилей — Remote SIM Provisioning (RSP)^[63]. В отличие от традиционного OTAP, использующего SMS для управления отдельными файлами на SIM-карте^[64], RSP позволяет удалённо загружать и менять целые «профили» операторов через защищённое HTTPS-соединение, без необходимости физической замены SIM-карты^[63][65]. Архитектура GSMA предусматривает две основные модели: «push-модель» (стандарт SGP.02), где сервер инициирует загрузку профиля на устройства Интернета вещей (M2M), и «pull-модель» (SGP.22) для потребительской электроники, где пользователь сам запускает процесс, например, отсканировав QR-код^[63].

Новейшим этапом развития стала технология iSIM (англ. Integrated SIM), при которой функциональность SIM-карты интегрируется непосредственно в основной процессор устройства (SoC)^[66]. Это обеспечивает дальнейшую миниатюризацию и снижение энергопотребления, что особенно важно для компактных IoT-устройств. Технология iSIM полностью совместима с существующей инфраструктурой RSP для удалённого управления профилями, а её рабочие версии были продемонстрированы, в частности, компанией Qualcomm в чипсете Snapdragon 8 Gen 2^[66].

Среди стандартов OTA‑обновлений одним из первых был GSM 03.48. В спецификации Zigbee существует технология Zigbee Over-the-Air Upgrading Cluster, входящая в профиль Zigbee Smart Energy, что позволяет стандартизировать обновление устройств независимо от производителя^[67].

С развитием интернета вещей, автомобильной промышленности и мобильных технологий появилось несколько ключевых современных стандартов:

• UNECE WP.29 — набор правил для автомобильной отрасли, обязательных с июля 2024 года для новых автомобилей в ЕС и других странах. Включает регламенты UN R155 (требует внедрения системы управления кибербезопасностью) и UN R156 (регламентирует безопасность процессов обновления ПО, обязывая производителей иметь систему управления обновлениями).
• GSMA Remote SIM Provisioning (RSP) — архитектура для удалённого управления профилями операторов на eSIM и iSIM. В отличие от старых методов, использующих SMS, RSP работает через защищённое HTTPS-соединение и позволяет менять оператора без физической замены SIM-карты. Стандарт предусматривает разные модели для потребительских устройств и M2M-решений.
• Lightweight M2M (LwM2M) — протокол от OMA, разработанный как легковесная альтернатива OMA DM для управления устройствами с ограниченными ресурсами. Основан на CoAP и определяет стандартизированную модель для удалённого мониторинга, настройки и обновления прошивок (FOTA).
• Matter — стандарт для умного дома от альянса CSA, который сделал поддержку безопасных OTA-обновлений обязательным требованием для сертификации. Архитектура предполагает наличие поставщика обновлений (например, хаба) и запросчика (конечного устройства). Процесс строго регламентирован: прошивка должна быть криптографически подписана, а откат на предыдущую версию после успешной установки запрещён.
• IETF SUIT (Software Updates for IoT) — стандарт, разрабатываемый для создания унифицированной и безопасной архитектуры обновлений для устройств с крайне ограниченными ресурсами. Он определяет формат метаданных (манифеста), содержащего информацию о прошивке, её криптографическую подпись и инструкции по установке.

Технология OTA-обновлений имеет сходство с другими методами доставки прошивок в потребительской электронике, однако подходы могут кардинально различаться. Например, если для большинства Wi-Fi-маршрутизаторов обновление выполняется пользователем вручную, то для кабельных модемов, работающих по стандарту DOCSIS, применяется централизованная модель. В этом случае обновление контролируется исключительно интернет-провайдером для обеспечения стабильности сети, а самостоятельная установка прошивки пользователем невозможна.